Ubuntu thường đăng cập nhật bảo mật kịp thời?

Vấn đề cụ thể: Gói nginx Oneiric nằm ở phiên bản 1.0.5-1, được phát hành vào tháng 7 năm 2011 theo thay đổi .

Lỗ hổng tiết lộ bộ nhớ gần đây ( trang tư vấn , CVE-2012-1180 , DSA-2434-1 ) không được sửa trong 1.0.5-1. Nếu tôi không đọc sai trang Ubuntu CVE, tất cả các phiên bản Ubuntu dường như gửi một nginx dễ bị tổn thương.

1. Điều này có đúng không?

   Nếu vậy: Tôi nghĩ rằng có một nhóm bảo mật tại Canonical đang tích cực xử lý các vấn đề như thế này, vì vậy tôi dự kiến ​​sẽ nhận được bản cập nhật bảo mật trong một khung thời gian ngắn (vài giờ hoặc vài ngày) apt-get update.

2. Có phải sự mong đợi này - rằng việc giữ cho các gói của tôi được cập nhật là đủ để ngăn máy chủ của tôi khỏi các lỗ hổng đã biết - nói chung là sai?

3. Nếu vậy: Tôi nên làm gì để giữ an toàn? Đọc các thông báo bảo mật Ubuntu sẽ không giúp ích gì trong trường hợp này, vì lỗ hổng nginx không bao giờ được đăng ở đó.

Ubuntu hiện được chia thành bốn thành phần: chính, hạn chế, vũ trụ và đa vũ trụ. Các gói chính và bị hạn chế được hỗ trợ bởi nhóm Bảo mật Ubuntu trong vòng đời phát hành Ubuntu, trong khi các gói trong vũ trụ và đa vũ trụ được cộng đồng Ubuntu hỗ trợ. Xem Câu hỏi thường gặp của nhóm bảo mật để biết thêm thông tin.

Vì nginx nằm trong thành phần Vũ trụ, nó không nhận được cập nhật từ nhóm bảo mật. Tùy thuộc vào cộng đồng để khắc phục các sự cố bảo mật trong gói đó. Xem ở đây để biết thủ tục chính xác .

Bạn có thể sử dụng Trung tâm phần mềm hoặc ubuntu-support-statuscông cụ dòng lệnh để xác định gói nào được hỗ trợ chính thức và trong bao lâu.

Cập nhật từ tương lai : Nginx đang chuyển sang chính vì vậy sẽ nhận được hỗ trợ từ Nhóm bảo mật Ubuntu vào thời điểm đó. Nếu bạn không chắc liệu phiên bản của mình có hoạt động hay không, chỉ cần nhìn apt-cache show nginxvà tìm thẻ "Mục". Khi đó là trong Main, bạn sẽ nhận được hỗ trợ Canonical cho nó.

Gói nginx trong ppa cho chính xác là tại Version 1.1.17-2 uploaded on 2012-03-19.

Nếu bạn cần các bản vá cho CVE vẫn còn trong ứng cử viên và không được chấp nhận, bạn có thể xem xét thêm ppas .

Trên gói và lỗi cụ thể này, đây là một số lưu ý từ trình theo dõi lỗi gói .

Các gói bên trong kho lưu trữ 'chính' của Ubuntu được Canonical cập nhật cập nhật. (Để trở thành một phần của cài đặt mặc định, gói phải nằm trong chính.)

Tuy nhiên, đối với các gói như nginx, trong "vũ trụ" thì tôi không mong đợi các cập nhật bảo mật kịp thời. Điều này là do các gói này được duy trì bởi các tình nguyện viên, thay vì Canonical. Sẽ không hợp lý khi mong đợi Canonical liên tục theo dõi hàng chục ngàn gói hàng tồn tại trong vũ trụ.

Đối với các gói trên các bản phân phối dựa trên Debian như Ubuntu, các bản vá bảo mật được chuyển ngược lại vào bản phát hành hiện tại. Phiên bản phát hành không được cập nhật vì có thể giới thiệu các tính năng không tương thích. Thay vào đó, nhóm bảo mật (hoặc người bảo trì gói) sẽ áp dụng bản vá bảo mật cho phiên bản hiện tại một bản phát hành bản vá.

1. Phiên bản hiện đang được triển khai có thể dễ bị tổn thương vì nó không được nhóm Bảo mật Ubuntu hỗ trợ. Điều này không có nghĩa là nó dễ bị tổn thương vì người bảo trì gói có thể đã vá nó. Kiểm tra changelogtrong /usr/share/doc/nginxthư mục để xem bản vá bảo mật đã được nhập lại chưa. Nếu không bản vá có thể đang được tiến hành và có sẵn trong bản phát hành thử nghiệm.

2. Bạn đã đúng khi cho rằng việc cập nhật máy chủ của bạn sẽ giảm đáng kể thời gian bạn đang chạy phần mềm không an toàn. Có các gói có thể được cấu hình để tự động tải xuống và cập nhật cài đặt tùy chọn. Chúng cũng có thể thông báo bản vá nào đã được cài đặt hoặc sẵn sàng để cài đặt.

3. Đối với các gói không được nhóm Bảo mật hỗ trợ, bạn có thể muốn chú ý đến bất kỳ vấn đề bảo mật nổi bật nào. Đánh giá rủi ro vì không phải tất cả các lỗ hổng đều có thể khai thác trên tất cả các hệ thống. Một số có thể phụ thuộc cấu hình hoặc yêu cầu truy cập cục bộ. Những người khác có thể không đáng kể nếu không có các vấn đề khác, ví dụ như khai thác điều kiện cuộc đua để thay thế tệp điểm số cao của trò chơi.