web-dev-qa-db-ja.com

どのdebianパッケージがどのCVEを修正するかをどうやって知ることができますか

私たちはdebianのウェブサイトCPE /エイリアスリスト、パッケージに関連するCVEリストで見つけることができます。しかし、パッケージのどのパッチがどの脆弱性を修正するのかをどこで知ることができるのかわかりません。例えば ​​:

  • bind9 1:9.7.3-1〜squeeze11はどの問題を修正しますか?
1
Vladimir Leiv

PTS/QA

パッケージのQAページに移動します。このためには、sourceパッケージ名(ここでは「bind9」)を使用します。

http://packages.qa.debian.org/bind9

または、binaryパッケージ名(例: "bind9-Host")を使用します。

http://packages.debian.org/bind9-Host

binary 1を使用した場合は、ディストリビューション内のパッケージ(例:oldstable)¹をクリックしてから、[Debianリソース]ボックスの[開発者情報(PTS)]をクリックします。右、QAページにリダイレクトします。

①このページの左上隅に「[Source:bind9]」と表示されているので、バイナリパッケージのソースパッケージ名がわかります。以下でそれが必要になります。

QAページが表示されると、ページの中央に「ニュース」ボックスが表示されます。これには、個々のアップロードごとの変更ログが含まれます。 「[2013-08-10] Accepted 1:9.7.3.dfsg-1〜squeeze11 in squeeze-security(high)(Salvatore Bonaccorso)」をクリックすると、リダイレクトされます here CVE- 2013-4854。通常、以前のバージョンのすべての変更も適用されます。

セキュリティトラッカー

最後に、sourceパッケージ名を検索できる セキュリティトラッカー があります。 (バイナリパッケージ名しかない場合は、上記を参照してください。)「bind9」と入力すると、…にリダイレクトされます。

https://security-tracker.debian.org/tracker/source-package/bind9

…ここでも、すべてのCVEとDSAがあります。いずれか(いずれか)をクリックすると、概要ページが表示され、どのパッケージがどのディストリビューションの問題を修正しているかがわかります。

2
mirabilos

Debianパッケージの特定のバージョンが修正するセキュリティ(およびその他の)問題を知りたい場合は、その変更ログを確認してください。すべての変更ログはオンラインです。たとえば、bind9 squeezeで、 https://packages.debian.org/squeeze/bind9http://packages.debian.org/RELEASE/PACKAGE)そして「DebianChangelog」リンクをクリックします。正確なパッケージバージョン(またはより新しいバージョン番号)がわかっている場合は、 http://metadata.ftp-master.debian.org/changelogs/main/b/bind9に移動できます。 /bind9_9.7.3.dfsg-1~squeeze11_changeloghttp://metadata.ftp-master.debian.org/changelogs/DISTRIBUTION/FIRST_LETTER/SOURCE_PACKAGE_NAME/BINARY_PACKAGE_NAME_BINARY_PACKAGE_VERSION_changelog)。

特定のセキュリティアドバイザリを修正するDebianパッケージのバージョンを知りたい場合は、 Debianセキュリティバグトラッカー で調べることができます(CVE名を検索ボックス)または直接 https://security-tracker.debian.org/tracker/CVE-2013-4854http://security-tracker.debian.org/tracker/NAME)。