web-dev-qa-db-ja.com

UbuntuのリポジトリでCVEが修正されたかどうかを確認するにはどうすればよいですか?

今日、NTPでのいくつかのバッファオーバーフローが発表されました 12 。これらの問題を修正するためにシステムを更新することは順調です。

Ubuntuリポジトリで修正されているかどうかを確認するにはどうすればよいですか?

Sudo apt-get update
Sudo apt-get upgrade

修正がインストールされ、脆弱性が閉じられますか?

編集:選択された回答は、特定のCVEが修正されたかどうかを識別する方法の質問に具体的に対応しています。「Ubuntuは通常、タイムリーなセキュリティ更新を投稿しますか?」 は確かに関連しているが同一ではない

14
Jxtps

探しているのはUbuntuセキュリティ通知であり、リポジトリに明確にリストされていません。 このページはメインのUbuntuセキュリティ通知リストです

個々のパッケージに関しては、セキュリティ修正に対処する更新は、独自の特別なリポジトリ-security pocketにあります。 Synapticを使用すると、「Origin」ビューに切り替えて、RELEASE-securityポケットにパッケージを表示できます。

すべてのCVEは、 buntu Security TeamのCVEトラッカー -具体的に参照されているCVEとともに here にもリストされています。ここで参照するCVE-2014-9295の場合、まだ修正されていません。

更新が利用可能になると、セキュリティリポジトリでリリースされると、Sudo apt-get update; Sudo apt-get upgradeによって検出されます。

13
Thomas Ward

受け入れられた答えは正しいですが、パッケージの変更ログを表示することでこの情報を見つけることができることがよくあります。これは、CVEトラッカーやセキュリティ通知リストを調べるよりも簡単です。例えば:

Sudo apt-get update
apt-get changelog ntp

上記のコマンドの出力には次のものが含まれます。

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <[email protected]>  Sat, 20 Dec 2014 05:47:10 -0500
...

これは、あなたが言及したバグがubuntuリポジトリで修正されたことを明確に示しています。その後、次を実行できます。

Sudo apt-get upgrade

修正をプルダウンします。

8
ralfthewise

パッケージの変更ログの確認について話していると思いますか?新機能、主要な大きな修正などを確認するには? Synapticには、変更ログを試してダウンロードする簡単な方法があります。

または、変更ログが利用できない、または短すぎる場合、最良の方法は利用可能なバージョンをメモし、開発者のWebサイトにアクセスして、できればより詳細な変更を確認することです。

0
Xen2050

これらのコマンドを実行すると、修正が得られますリポジトリにあります-しかし、まだ修正されていない可能性があります。 Update Notifierを有効にしている場合(トレイウィジェット)、システムまたはセキュリティの更新があるたびに通知を受け取ります(セキュリティの更新はそのように記録されます)。そうすれば、Ubuntu向けにリリースされるとすぐにパッチを入手できます。

0
Zeiss Ikon