Конкретная проблема: пакет Oneiric nginx имеет версию 1.0.5-1, выпущенную в июле 2011 года согласно журналу изменений .
Недавняя уязвимость , приводящая к раскрытию памяти ( страница рекомендаций , CVE-2012-1180 , DSA-2434-1 ), не исправлена в 1.0.5-1. Если я не неправильно читаю страницу CVE Ubuntu, все версии Ubuntu поставляются с уязвимым nginx.
Это правда?
Если так: я думал, что в Canonical была команда безопасности, которая активно работает над такими проблемами, поэтому я ожидал получить обновление безопасности в течение короткого периода времени (часов или дней)
apt-get update
.Является ли это ожидание - что поддержание моих пакетов в актуальном состоянии достаточно, чтобы помешать моему серверу иметь известные уязвимости - как правило, неправильно?
Если так: что я должен сделать, чтобы сохранить его в безопасности? Чтение уведомлений о безопасности Ubuntu в этом случае не помогло бы, поскольку уязвимость nginx там никогда не размещалась.
Ответы:
Ubuntu в настоящее время разделен на четыре компонента: основной, ограниченный, вселенная и мультиверс. Пакеты в основном и ограниченном поддерживаются командой безопасности Ubuntu на протяжении всего жизненного цикла выпуска Ubuntu, в то время как пакеты в юниверсе и мультивселенной поддерживаются сообществом Ubuntu. См. FAQ команды безопасности для получения дополнительной информации.
Поскольку nginx входит в компонент Universe, он не получает обновлений от группы безопасности. Сообщество должно решить проблемы безопасности в этом пакете. Смотрите здесь для точной процедуры .
Вы можете использовать Центр программного обеспечения или
ubuntu-support-status
инструмент командной строки, чтобы определить, какие пакеты официально поддерживаются и как долго.Обновление от будущего : Nginx двигается к основному So будет получать поддержку от команды Ubuntu безопасности в этой точке. Если вы не уверены, подойдет ли ваша версия, просто посмотрите
apt-cache show nginx
и найдите тег «Раздел». Когда это в Main, вы получаете поддержку Canonical.источник
Точный пакет nginx в ppa
Version 1.1.17-2 uploaded on 2012-03-19
.Если вам нужны патчи для CVE, которые все еще находятся в кандидате и не приняты, вы можете рассмотреть возможность добавления ppas .
Об этом конкретном пакете и ошибке здесь приведены некоторые заметки из трекера ошибок пакета .
источник
Canonical постоянно обновляет пакеты внутри основного хранилища Ubuntu. (Чтобы быть частью установки по умолчанию, пакет должен быть внутри main.)
Однако для таких пакетов, как nginx, которые находятся в «юниверсе», я не ожидал бы своевременных обновлений безопасности. Это потому, что эти пакеты поддерживаются добровольцами, а не Canonical. Было бы неразумно ожидать, что Canonical будет постоянно отслеживать десятки тысяч пакетов, существующих во вселенной.
источник
Для пакетов в дистрибутивах на основе Debian, таких как Ubuntu, исправления безопасности перенесены в текущую версию. Версии выпуска не обновляются, так как это может привести к несовместимым функциям. Вместо этого команда безопасности (или сопровождающий пакета) применит исправление безопасности для текущей версии или выпуска исправленной версии.
Развернутая в настоящее время версия может быть уязвимой, поскольку она не поддерживается командой безопасности Ubuntu. Это не означает, что он уязвим, так как сопровождающий пакета, возможно, исправил его. Проверьте
changelog
в/usr/share/doc/nginx
каталоге, чтобы убедиться, что исправление безопасности было перенесено. Если нет, патч может быть запущен и доступен в тестовой версии.Вы правы, полагая, что поддержание вашего сервера в актуальном состоянии значительно сократит период использования небезопасного программного обеспечения. Существуют пакеты, которые можно настроить для автоматической загрузки и установки дополнительных обновлений. Они также могут уведомлять, какие исправления были установлены или готовы к установке.
Для пакетов, которые не поддерживаются командой безопасности, вы можете обратить внимание на все нерешенные проблемы безопасности. Оцените риск, поскольку не все уязвимости могут использоваться во всех системах. Некоторые могут зависеть от конфигурации или требовать локального доступа. Другие могут быть не столь значительными без других проблем, например, использовать условие гонки для замены файла рекордов игр.
источник