Как я могу узнать, было ли исправлено CVE в репозиториях Ubuntu?

Сегодня было объявлено о нескольких переполнениях буфера в NTP 1 , 2 . Похоже, что обновление моей системы для устранения этих проблем в порядке.

Как я могу узнать, были ли они исправлены в репозиториях Ubuntu, так что, если я должен был запустить:

sudo apt-get update
sudo apt-get upgrade

тогда исправление будет установлено и уязвимость закрыта?

Изменить: Выбранный ответ конкретно касается вопроса о том, как определить, был ли данный CVE исправлен или нет: "Ubuntu обычно публикует своевременные обновления безопасности?" 3 конечно связано, но не идентично

То, что вы ищете, это Ubuntu Security Notifications, и они не четко перечислены в репозиториях. Эта страница является основным списком уведомлений безопасности Ubuntu.

Что касается отдельных пакетов, обновления, которые касаются исправлений безопасности, находятся в их собственном специальном репозитории, -securityкармане. Используя Synaptic, вы можете переключиться в представление «Происхождение» и увидеть пакеты в RELEASE-securityкармане.

Все CVEs также перечислены в CVE трекер Ubuntu Security Team в - с конкретно ссылочного ССО здесь . В случае CVE-2014-9295, на который вы ссылаетесь здесь, он еще не был исправлен.

Как только обновление доступно, оно будет обнаружено sudo apt-get update; sudo apt-get upgradeпосле его выпуска в репозитории безопасности.

Хотя принятый ответ верен, я часто нахожу, что могу узнать эту информацию, просматривая журнал изменений пакета, и это проще, чем просматривать трекеры CVE или список уведомлений безопасности. Например:

sudo apt-get update
apt-get changelog ntp

Вывод вышеуказанной команды включает в себя:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Это ясно показывает, что упомянутые вами ошибки были исправлены в репозиториях Ubuntu. Затем вы можете запустить:

sudo apt-get upgrade

снести починку.

Я думаю, вы говорите о проверке журнала изменений пакета? Чтобы увидеть, что нового, основные большие исправления и т. Д.? Synapticимеет простой способ попробовать и скачать журналы изменений.

Или, если список изменений недоступен или является слишком коротким, лучшим способом будет отметить доступную версию и перейти на веб-сайт разработчика и увидеть более подробные изменения.

Если вы запустите эти команды, вы получите все исправления, которые есть в репозиториях, но их пока нет. Если у вас включен модуль уведомлений об обновлениях (виджет в трее), вы будете получать уведомления всякий раз, когда появляются обновления системы или безопасности (и обновления безопасности будут отмечаться как таковые). Тогда вы получите исправления, как только они выйдут для Ubuntu, не напрягаясь над ними.