Ubuntu'nun depolarında bir CVE'nin düzeltilip düzeltilmediğini nasıl anlayabilirim?

Bugün NTP'de birkaç tampon taşması 1 , 2 ilan edildi . Bu sorunları gidermek için sistemimi güncellemede gibi görünüyor.

Ubuntu depolarında sabit olup olmadıklarını nasıl öğrenebilirim, eğer çalışacak olsaydım:

sudo apt-get update
sudo apt-get upgrade

düzeltme yüklenir ve güvenlik açığı kapatılır mı?

Düzenleme: Seçilen cevap özellikle belirli bir CVE'nin "Ubuntu genellikle zamanında güvenlik güncellemeleri gönderiyor mu?" 3 kesinlikle ilişkilidir fakat özdeş değildir

Aradığınız şey Ubuntu Güvenlik Bildirimleri'dir ve depolarda açıkça listelenmemektedir. Bu sayfa ana Ubuntu Güvenlik Bildirimleri listesidir.

Bireysel paketlere gelince, güvenlik düzeltmelerini ele alan güncellemeler kendi özel havuzunda, -securitycebinde. Synaptic'i kullanarak "Köken" görünümüne geçebilir ve paketteki paketleri görebilirsiniz RELEASE-security.

Tüm CVEs da listelenen Ubuntu Güvenlik Ekibi'nin CVE izci - senin özel olarak başvurulan CVE ile burada . Burada referansta bulunduğunuz CVE-2014-9295 durumunda, henüz düzeltilmemiş.

Bir güncelleme hazır olduğunda, sudo apt-get update; sudo apt-get upgradegüvenlik deposunda yayınlandıktan sonra algılanacaktır .

Kabul edilen cevap doğru olsa da, genellikle bir paketin changelog'unu görüntüleyerek bu bilgiyi bulabildiğimi ve CVE izleyicilerini veya güvenlik bildirimleri listesini taramaktan daha kolay olduğunu düşünüyorum. Örneğin:

sudo apt-get update
apt-get changelog ntp

Yukarıdaki komutun çıktısı şunları içerir:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

Bu, bahsettiğiniz hataların ubuntu depolarında düzeltildiğini açıkça göstermektedir. Daha sonra şunları çalıştırabilirsiniz:

sudo apt-get upgrade

düzeltmeyi aşağı çekmek için.

Sanırım bir paketin changelog'unu kontrol etmekten mi bahsediyorsun? Nelerin yeni olduğunu görmek için büyük düzeltmeler vb. Synapticchangelog'ları denemenin ve indirmenin kolay bir yolu var.

Veya değişiklik günlüğü kullanılamıyorsa veya çok kısasa, en iyi yol mevcut sürümü not etmek ve geliştirici web sitesine gitmek ve umarım daha ayrıntılı değişiklikleri görmek olabilir.

Bu komutları çalıştırırsanız , depolarda bulunan düzeltmeleri alırsınız - ancak bunlar henüz olmayabilir. Güncelleme Bildiricisi'ni (tepsi widget'ı) etkinleştirdiyseniz, sistem veya güvenlik güncellemeleri olduğunda bir bildirim alırsınız (ve güvenlik güncellemeleri bu şekilde not edilir). Sonra yamaları Ubuntu'ya gider çıkmaz, üzerlerine baskı yapmak zorunda kalmadan alırsınız.