Làm cách nào để biết CVE đã được sửa trong kho của Ubuntu chưa?

Hôm nay, một vài lỗi tràn bộ đệm trong NTP đã được công bố 1 , 2 . Có vẻ như việc cập nhật hệ thống của tôi để khắc phục các sự cố này theo thứ tự.

Làm thế nào tôi có thể tìm ra nếu chúng đã được sửa trong kho Ubuntu, như vậy nếu tôi chạy:

sudo apt-get update
sudo apt-get upgrade

Sau đó, sửa chữa sẽ được cài đặt và lỗ hổng đóng cửa?

Chỉnh sửa: Câu trả lời được chọn giải quyết cụ thể câu hỏi về cách xác định xem CVE cụ thể đã được sửa hay chưa, "Ubuntu có thường đăng cập nhật bảo mật kịp thời không?" 3 chắc chắn có liên quan nhưng không giống nhau

Những gì bạn đang tìm kiếm là Thông báo bảo mật Ubuntu và chúng không được liệt kê rõ ràng trong kho. Trang này là danh sách Thông báo bảo mật Ubuntu chính.

Đối với các gói riêng lẻ, các bản cập nhật sửa lỗi bảo mật địa chỉ nằm trong kho lưu trữ đặc biệt của riêng chúng, -securitytúi. Sử dụng Synaptic, bạn có thể chuyển sang chế độ xem "Xuất xứ" và xem các gói trong RELEASE-securitytúi.

Tất cả CVE cũng được liệt kê trong trình theo dõi CVE của Nhóm bảo mật Ubuntu - với CVE được tham chiếu cụ thể của bạn tại đây . Trong trường hợp CVE-2014-9295 mà bạn tham khảo ở đây, nó vẫn chưa được sửa.

Khi có bản cập nhật, nó sẽ được phát hiện sudo apt-get update; sudo apt-get upgradekhi nó được phát hành trong kho bảo mật.

Mặc dù câu trả lời được chấp nhận là chính xác, tôi thường thấy rằng tôi có thể tìm hiểu thông tin này bằng cách xem thay đổi của gói và điều đó dễ hơn là quét các trình theo dõi CVE hoặc danh sách thông báo bảo mật. Ví dụ:

sudo apt-get update
apt-get changelog ntp

Đầu ra của lệnh trên bao gồm:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Điều này cho thấy rõ rằng các lỗi mà bạn đề cập đã được sửa trong kho ubfox. Sau đó bạn có thể chạy:

sudo apt-get upgrade

để kéo xuống sửa chữa.

Tôi nghĩ rằng bạn đang nói về việc kiểm tra thay đổi của một gói? Để xem những gì mới, sửa chữa lớn, vv? Synapticcó một cách dễ dàng để thử và tải về các thay đổi.

Hoặc nếu thay đổi không có sẵn hoặc quá ngắn gọn, cách tốt nhất có thể là lưu ý phiên bản có sẵn và truy cập trang web của nhà phát triển và xem hy vọng thay đổi chi tiết hơn.

Nếu bạn chạy các lệnh đó, bạn sẽ nhận được bất kỳ bản sửa lỗi nào trong kho - nhưng có thể chưa có. Nếu bạn đã bật Trình thông báo cập nhật (tiện ích khay), bạn sẽ nhận được thông báo bất cứ khi nào có cập nhật hệ thống hoặc bảo mật (và các cập nhật bảo mật sẽ được ghi chú như vậy). Sau đó, bạn sẽ nhận được các bản vá ngay khi chúng ra Ubuntu, mà không phải căng thẳng về chúng.