¿Cómo puedo saber si un CVE se ha solucionado en los repositorios de Ubuntu?

15

Hoy se anunciaron un par de desbordamientos de búfer en NTP 1 , 2 . Parece que actualizar mi sistema para solucionar estos problemas está en orden.

¿Cómo puedo saber si se han solucionado en los repositorios de Ubuntu, de modo que si tuviera que ejecutar:

sudo apt-get update
sudo apt-get upgrade

entonces se instalaría la solución y se cerraría la vulnerabilidad?

Editar: La respuesta seleccionada aborda específicamente la cuestión de cómo identificar si un CVE determinado se ha solucionado o no, "¿Ubuntu generalmente publica actualizaciones de seguridad oportunas?" 3 está ciertamente relacionado pero no es idéntico

Jxtps
fuente
No estoy seguro de cómo puede saber si hay una solución específica en un paquete, excepto que tal vez se anuncie en la plataforma de lanzamiento. Puede saber tanto la versión que ha instalado como la versión disponible ejecutandoapt-cache policy ntp
Charles Green
Otra cosa a considerar es que los sistemas de escritorio son objetivos mucho menos atractivos que los servidores. Es muy probable que espere a que aparezca una solución en los repositorios que usa normalmente.
Zeiss Ikon
@dobey: No estoy seguro de que sea un engaño: están preguntando cómo averiguar si está solucionado, no si se actualiza oportunamente.
Thomas Ward
@ Mitch mira mi comentario anterior a dobey.
Thomas Ward
"Sistema" = 10-20 máquinas virtuales en AWS, por lo que los servidores.
Jxtps

Respuestas:

14

Lo que está buscando son Notificaciones de seguridad de Ubuntu y no están claramente enumeradas en los repositorios. Esta página es la lista principal de Notificaciones de seguridad de Ubuntu.

En cuanto a los paquetes individuales, las actualizaciones que abordan las soluciones de seguridad están en su propio repositorio especial, el -securitybolsillo. Con Synaptic, puede cambiar a la vista "Origen" y ver los paquetes en el RELEASE-securitybolsillo.

Todos los CVE también se enumeran en el rastreador CVE del equipo de seguridad de Ubuntu , con su CVE específicamente referenciado aquí . En el caso de CVE-2014-9295 al que hace referencia aquí, aún no se ha solucionado.

Una vez que hay una actualización disponible, se detectará sudo apt-get update; sudo apt-get upgradeuna vez que se publique en el repositorio de seguridad.

Thomas Ward
fuente
El rastreador CVE es un ganador, para referencia futura también tienen una página de búsqueda
Jxtps
10

Si bien la respuesta aceptada es correcta, a menudo encuentro que puedo encontrar esta información al ver el registro de cambios de un paquete, y eso es más fácil que buscar los rastreadores CVE o la lista de notificaciones de seguridad. Por ejemplo:

sudo apt-get update
apt-get changelog ntp

El resultado del comando anterior incluye:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <[email protected]>  Sat, 20 Dec 2014 05:47:10 -0500
...

Lo que muestra claramente que los errores que mencionó se han corregido en los repositorios de ubuntu. Luego puedes ejecutar:

sudo apt-get upgrade

para derribar la solución.

ralfthewise
fuente
0

¿Creo que estás hablando de verificar el registro de cambios de un paquete? Para ver qué hay de nuevo, grandes soluciones importantes, etc. Synaptictiene una manera fácil de probar y descargar registros de cambios.

O si el registro de cambios no está disponible o es demasiado breve, la mejor manera podría ser anotar la versión disponible, ir al sitio web del desarrollador y ver con suerte cambios más detallados.

Xen2050
fuente
Tenía la esperanza de evitar leer los registros de cambios para determinar esto: los CVE de alto impacto sienten que deberían llamarse en las páginas del paquete, pero esa es una solicitud de función para otro día.
Jxtps
0

Si ejecuta esos comandos, obtendrá las soluciones que se encuentran en los repositorios , pero es posible que aún no lo estén. Si tiene habilitado el Notificador de actualización (un widget de bandeja), recibirá una notificación cada vez que haya actualizaciones del sistema o de seguridad (y las actualizaciones de seguridad se anotarán como tales). Luego obtendrá los parches tan pronto como salgan para Ubuntu, sin tener que preocuparse por ellos.

Zeiss Ikon
fuente