Ubuntu genellikle zamanında güvenlik güncellemeleri yayınlar mı?


32

Beton sorunu: Oneiric nginx paketi göre Temmuz 2011'de yayımlanan sürüm 1.0.5-1 olan değişmek .

Son bellek açıklığı güvenlik açığı ( danışma sayfası , CVE-2012-1180 , DSA-2434-1 ) 1.0.5-1'de sabit değildir. Ubuntu CVE sayfasını yanlış okumamıyorsam, tüm Ubuntu sürümleri güvenlik açığı bulunan bir nginx gönderiyor gibi görünmektedir.

  1. Bu doğru mu?

    Öyleyse: Canonical'da bunun gibi konularda aktif olarak çalışan bir güvenlik ekibi olduğunu düşündüm, bu yüzden kısa bir süre içinde (saat veya gün) bir güvenlik güncellemesi almayı bekliyordum apt-get update.

  2. Bu beklenti - paketleri güncel tutmamın, sunucumun bilinen güvenlik açıklarına sahip olmasını engellemek için yeterli - genellikle yanlış mı?

  3. Öyleyse: Güvenli tutmak için ne yapmalıyım? Nginx güvenlik açığı oraya hiçbir zaman gönderilmediğinden , Ubuntu güvenlik bildirimlerini okumak bu durumda yardımcı olmazdı.


4
Alıntı yapmak için somut bir konu olduğu için + 1'ledim.
RobotHumans

Yanıtlar:


39

Ubuntu şu anda dört bileşene ayrılmıştır: ana, kısıtlı, evren ve çok boyutlu. Ana ve kısıtlı paketler bir Ubuntu sürümünün ömrü boyunca Ubuntu Güvenlik ekibi tarafından desteklenirken, evrendeki ve çoklu evrendeki paketler Ubuntu topluluğu tarafından desteklenir. Daha fazla bilgi için güvenlik ekibi SSS bölümüne bakın .

Nginx Universe bileşeninde olduğu için güvenlik ekibinden güncellemeler almaz. Bu paketteki güvenlik sorunlarını gidermek topluluğa aittir. Tam prosedür için buraya bakın .

ubuntu-support-statusHangi paketlerin resmi olarak desteklendiğini ve ne kadar süreyle desteklendiğini belirlemek için Yazılım Merkezi veya komut satırı aracını kullanabilirsiniz.


Gelecekten Güncelleme : Nginx ana So taşınıyor olacak o noktada Ubuntu Güvenlik Ekibinden destek almak. Sürümünüzün olup olmayacağından emin değilseniz, sadece apt-cache show nginx"Bölüm" etiketine bakın ve arayın. Main’deyken, Canonical desteği alıyorsunuz.


Ubuntu-support-status 'ın buggy olduğuna dikkat edin, bu yüzden onunla çok iyi şansınız olmayabilir: bugs.launchpad.net/ubuntu/+source/update-manager/+bug/849532
Ben McCann

14

Kesin olarak ppa içindeki nginx paketi de Version 1.1.17-2 uploaded on 2012-03-19.

Halen aday olan ve kabul edilmeyen CVE'ler için düzeltme eklerine ihtiyacınız varsa, ppas eklemeyi düşünebilirsiniz .

Bu özel paket ve hata burada paket hata izci bazı notlar .


4

Ubuntu 'ana' deposundaki paketler Canonical tarafından etkin şekilde güncel tutulur. (Varsayılan kurulumun bir parçası olmak için ana paket içinde bir paket olmalıdır.)

Ancak, nginx gibi "evrende" olan paketler için o zaman güvenlik güncellemelerini beklemem. Bunun nedeni, bu paketlerin Kanonik değil gönüllüler tarafından sürdürülmesidir. Canonical'in evrende var olan onbinlerce paketi sürekli olarak izlemesini beklemek mantıklı olmaz.


1

Ubuntu gibi Debian tabanlı dağıtımlarda bulunan paketlerde, güvenlik yamaları geçerli sürümde tekrar gösterilir. Sürüm sürümleri uyumsuz özellikler getirebileceğinden güncellenmedi. Bunun yerine güvenlik ekibi (veya paket sorumlusu) güvenlik düzeltme ekini geçerli sürüme uygular ve eklenmiş sürümü yayınlar.

  1. Halihazırda dağıtılmış olan sürüm, Ubuntu Güvenlik ekibi tarafından desteklenmediği için savunmasız olabilir. Bu, paket sahibinin yamalı olabileceği için savunmasız olduğu anlamına gelmez. Güvenlik düzeltme ekinin desteklenip desteklenmediğini görmek changelogiçin /usr/share/doc/nginxdizinde kontrol edin . Değilse, düzeltme eki devam ediyor olabilir ve test sürümünde mevcut olabilir.

  2. Sunucunuzu güncel tutmanın güvensiz yazılım kullandığınız süreyi önemli ölçüde azaltacağını varsaymakta haklısınız. Güncellemeleri otomatik olarak indirmek ve isteğe bağlı yükleme güncellemelerini yapmak için yapılandırılabilecek paketler vardır. Bunlar, hangi yamaların kurulduğunu veya kuruluma hazır olduğunu da bildirir.

  3. Güvenlik ekibi tarafından desteklenmeyen paketler için, olağanüstü güvenlik sorunlarına dikkat etmek isteyebilirsiniz. Riskleri, tüm güvenlik açıklarında tüm sistemlerde sömürülmediğinden değerlendirin. Bazıları yapılandırmaya bağlı olabilir veya yerel erişim gerektirebilir. Diğerleri başka problemler olmadan o kadar önemli olmayabilir, örneğin oyunların yüksek puanlar dosyasını değiştirmek için bir yarış koşulundan istifade etmek.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.