web-dev-qa-db-ja.com

CentOSセキュリティトラッカー

ほとんどのLinuxディストリビューションには、最新のパッケージにセキュリティの脆弱性があるかどうか、および修正されているバージョンを確認できるページが用意されています。

CentOSがパッケージのほとんどをRHELから派生していることを理解しています。RHELには、そのようなページがあります。 https://access.redhat.com/security/cve/

残念ながら、CentOSはRHELのバージョン番号を取得して変更しているようですが、RHELパッケージのベースバージョンと、CentOSパッケージで特定のCVEが修正されているかどうかを確認することはできません。

例として、CentOSのOpenSSHのどのバージョンがCVE-2014-2653を修正するかを誰かに教えてもらえますか? CVEやCentOSパッケージの情報を見つけるための簡単な方法(Red Hatサイトと同様)はありますか?

11
TimC

したがって、Red HatのエラッタとCentOSのエラッタは同じ数字のようです。

これはRed Hatのフォーマットです。

 RHSA-YYYY-####

そして、これはCentOSのフォーマットです:

 CESA-YYYY:####

ここで、####は両方の同じ番号です。だから、あなたの例の質問を解決するために、これが私がしたことです:

  1. RedHatサイトにアクセスして、CVE番号を検索しました。これにより、エラッタにリンクされているCVEページが表示されました RHSA-2014-1552

  2. CentOSは、エラッタを公開アーカイブメーリングリストでリリースします。そのメールには、「CentOS Errata and Security Advisory」番号と、それを修正するためにアップロードしたパッケージが含まれています。現在、Googleの魔法を使って「CESA-2014:1552」を検索しています。 site:lists.centos.orgは、ドメインの制限に関係なく最初の結果になるため、オプションです。検索すると、OpenSSHパッケージの更新を一覧表示する this email が表示されます。リストのリンクをクリックします。

中央のオンラインリポジトリ(CentOSにはまったくありません)を検索するほど簡単ではありませんが、あまり複雑にせずにポイントAからBに移動できます。

7
Ohnana