web-dev-qa-db-ja.com

どのCVE通知が適用されますか?

私はUbuntuを使い始めたばかりで、CVEに関連する通知が混乱していることに気づきました。たとえば、 https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14901.html に記載されている特定のCVEを見ると、そのページ参照が表示されます以下を含む他のいくつか:

  1. https://usn.ubuntu.com/4227-1/
  2. https://usn.ubuntu.com/4228-1/

16.04 LTSサーバーを実行していますが、これらの2つの参照は、16.04 LTSに関連していることを示しています。しかし、私を混乱させるのは、問題を修正する方法に関するさまざまな情報を提供することです。 #1は4.15.0バージョンへのアップグレードを指定し、#2は4.4.0バージョンへのアップグレードを指定します。これらの2つのページで16.04 LTSの「修正された」バージョンが異なるのはなぜですか。どちらが本当に正しい情報ですか。

さらに、元のCVE URLは、欠陥が「Linuxカーネル、すべてのバージョン3.x.xおよび4.18.0より前の4.x.x」で発見されたと述べています。え?それで、両方とも4.18未満であるのに、なぜ4.4.0または4.15.0に更新するように指示するのですか?

4
Shawn

4.4(通常、またはGA)カーネルと4.15(HWE)カーネルの間で混乱しているようですが、これはかなり普通の混乱です。詳細は https://wiki.ubuntu.com/Kernel/RollingLTSEnablementStack を確認してください。通常バージョンとHWEカーネルバージョンの両方にパッチが適用され、両方とも16.04 LTSカーネルです。

別のカーネルバージョンにアップグレードするためのアドバイスは、通常、Ubuntuを使用していない人向けです。 Ubuntu Security Teamは通常、バージョンを変更することなく、ほとんどのパッケージ(カーネルを含む)にパッチを適用します。パッチを当てたカーネルは、新しいバージョンと同じくらい安全です。

buntu Security Team がこのようなケースを処理する方法の詳細については、 buntu Security Podcast をご覧ください。

3
user535733