web-dev-qa-db-ja.com

Ubuntu Xenialでセキュリティパッチを適用するためにbinutilsを更新する方法

Xenial(16.04 LTS)で実行しているサーバーがいくつかあります。サーバーのパッチされていないCVE脆弱性のリストを表示するセキュリティスキャンツール(AWS Inspector)を実行しました。それらの多くはbinutilsに関連しています。たとえば https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-6323.html

パッケージの上の上記のCanonicalリンクで、必要に応じてマークされていることがわかりますが、次のようにしています。

Sudo apt-get update
Sudo apt-get upgrade --dry-run

パッチがありません。最近、アップグレードを正常に実行したので、新しいものは何もありません。ただし、binutilsは引き続きアラートをトリガーしており、バージョンは2.26.1-1ubuntu1~16.04.8です。

Xenialのこれらの脆弱性にパッチを当てるためにbinutilsをアップグレードする方法はありますか?それともこれは誤警報ですか?

3
kos

この場合、「必要」は「パッチが適用されたパッケージをアップロードしたため、今すぐアップグレードする必要があります」という意味ではありません。

代わりに、「このパッチはまだUbuntuセキュリティチームによって適用されていませんが、to-doリストに含まれています。」

プレーンな古いapt-cache madison <packagename>コマンドを使用して、それを再確認できます。 Madisonは、リリースのUbuntuリポジトリから利用可能な現在のパッケージを返します。

たとえば、私がこれをXenial(16.04)で書いた時点で利用できるものは次のとおりです。

binutils | 2.26-8ubuntu2             | xenial
binutils | 2.26.1-1ubuntu1~16.04.8   | xenial-security
binutils | 2.26.1-1ubuntu1~16.04.8   | xenial-updates

お使いのバージョン2.26.1-1ubuntu1~16.04.8が最新のバージョンであることがわかります。

ほとんどの人は、apt-cacheをチェックしてaptコマンドを実行することにより、セキュリティアップグレードをインストールする必要はありません。必要に応じて、サポートされています。ただし、一般的な使用法のほとんどの人は、すべてのUbuntuデスクトップフレーバーとUbuntuサーバーのデフォルトインストールの一部である無人アップグレードアプリケーションを使用する必要があります。 -securityポケットで新しいアップグレードを毎日チェックし、バックグラウンドで大騒ぎせずにインストールします。

特定のパッケージが最後にアップグレードされた時期を知る必要がある場合は、aptアップグレードと無人アップグレードの両方で、すべてのアクティビティが/ var/logに簡単にgrepできる形式で記録されます。

この特定のCVEについての1つのメモ-Ubuntuセキュリティチームが優先度を「低」にマークしたことに注意してください。監査がその赤旗を投げ続けている場合は、監査レビュアーがあなたがそれを追跡していることを知っていることを確認しますが、それは優先度が低いです。 Ubuntuセキュリティチームが見逃したこの特定の脆弱性について何かを知っていて、優先度が高いに値すると感じた場合は、セキュリティチームに連絡して問題について話し合ってください。

セキュリティチームは、ボランティアによるテストと支援を歓迎します。優先度の低い修正のパッケージ化とテストの支援を申し出てボランティアが監査を片付ける場合も、なお良いでしょう。セキュリティチームのしくみ、機能、および優先順位付けの方法に興味がある場合は、 the podcast がわかります。

2
user535733