Apakah Ubuntu umumnya memposting pembaruan keamanan yang tepat waktu?

32

Masalah nyata: Paket Oneiric nginx berada di versi 1.0.5-1, dirilis pada Juli 2011 menurut changelog .

Kerentanan pengungkapan memori terbaru ( halaman penasihat , CVE-2012-1180 , DSA-2434-1 ) tidak diperbaiki di 1.0.5-1. Jika saya tidak salah membaca halaman CVE Ubuntu, semua versi Ubuntu sepertinya mengirimkan nginx yang rentan.

  1. Apakah ini benar?

    Jika demikian: Saya pikir ada tim keamanan di Canonical yang aktif menangani masalah-masalah seperti ini, jadi saya berharap untuk mendapatkan pembaruan keamanan dalam jangka waktu singkat (jam atau hari) apt-get update.

  2. Apakah harapan ini - bahwa menjaga paket-paket saya mutakhir sudah cukup untuk menghentikan server saya dari memiliki kerentanan yang diketahui - umumnya salah?

  3. Jika demikian: Apa yang harus saya lakukan agar tetap aman? Membaca pemberitahuan keamanan Ubuntu tidak akan membantu dalam kasus ini, karena kerentanan nginx tidak pernah diposting di sana.

Jo Liss
sumber
4
Saya memberi +1 untuk memiliki masalah konkret untuk dikutip.
RobotHumans

Jawaban:

39

Ubuntu saat ini dibagi menjadi empat komponen: utama, terbatas, semesta dan multiverse. Paket-paket dalam paket utama dan terbatas didukung oleh tim Keamanan Ubuntu selama rilis Ubuntu, sementara paket-paket di jagat raya dan multiverse didukung oleh komunitas Ubuntu. Lihat FAQ tim keamanan untuk informasi lebih lanjut.

Karena nginx berada di komponen Universe, nginx tidak mendapatkan pembaruan dari tim keamanan. Terserah masyarakat untuk memperbaiki masalah keamanan dalam paket itu. Lihat di sini untuk prosedur yang tepat .

Anda dapat menggunakan Pusat Perangkat Lunak atau ubuntu-support-statusalat baris perintah untuk menentukan paket mana yang didukung secara resmi, dan untuk berapa lama.


Pembaruan dari masa depan : Nginx pindah ke utama sehingga akan menerima dukungan dari Tim Keamanan Ubuntu pada saat itu. Jika Anda tidak yakin apakah versi Anda akan, lihat saja apt-cache show nginxdan cari tag "Bagian". Ketika itu di Main, Anda mendapatkan dukungan Canonical untuk itu.

mdeslaur
sumber
Perhatikan bahwa ubuntu-support-status buggy, jadi Anda mungkin tidak beruntung dengan itu: bugs.launchpad.net/ubuntu/+source/update-manager/+bug/849532
Ben McCann
14

Paket nginx dalam ppa untuk tepatnya ada di Version 1.1.17-2 uploaded on 2012-03-19.

Jika Anda membutuhkan tambalan untuk CVE yang masih dalam kandidat dan tidak diterima, Anda dapat mempertimbangkan untuk menambahkan ppas .

Pada paket dan bug ini, berikut adalah beberapa catatan dari pelacak bug paket .

RobotHumans
sumber
4

Paket-paket di dalam repositori 'utama' Ubuntu secara aktif diperbarui oleh Canonical. (Untuk menjadi bagian dari instalasi default, sebuah paket harus berada di dalam main.)

Namun, untuk paket-paket seperti nginx, yang ada di "jagat raya" maka saya tidak akan mengharapkan pembaruan keamanan yang tepat waktu. Ini karena paket-paket ini dikelola oleh sukarelawan, bukan oleh Canonical. Tidak masuk akal untuk mengharapkan Canonical untuk terus memantau puluhan ribu paket yang ada di alam semesta.

8128
sumber
1

Untuk paket-paket yang menggunakan distribusi berbasis Debian seperti Ubuntu, tambalan keamanan di-portingkan ke rilis saat ini. Versi rilis tidak diperbarui karena dapat memperkenalkan fitur yang tidak kompatibel. Sebaliknya tim keamanan (atau pengelola paket) akan menerapkan tambalan keamanan ke versi saat ini rilis versi tambalan.

  1. Versi yang saat ini digunakan mungkin rentan karena tidak didukung oleh tim Keamanan Ubuntu. Ini tidak berarti bahwa ia rentan karena pengelola paket mungkin telah menambalnya. Periksa changelogdi /usr/share/doc/nginxdirektori untuk melihat apakah patch keamanan telah di-backport. Jika tidak, tambalan mungkin sedang dalam proses dan tersedia dalam rilis pengujian.

  2. Anda benar dengan mengasumsikan bahwa memperbarui server Anda secara signifikan akan mengurangi periode Anda menjalankan perangkat lunak tidak aman. Ada paket yang dapat dikonfigurasi untuk mengunduh secara otomatis dan menginstal pembaruan opsional. Ini juga dapat memberi tahu patch mana yang diinstal, atau siap untuk instalasi.

  3. Untuk paket yang tidak didukung oleh tim Keamanan, Anda mungkin ingin memperhatikan masalah keamanan yang beredar. Mengevaluasi risiko karena tidak semua kerentanan dapat dieksploitasi pada semua sistem. Beberapa mungkin tergantung konfigurasi atau memerlukan akses lokal. Yang lain mungkin tidak begitu signifikan tanpa masalah lain, misalnya mengeksploitasi kondisi balapan untuk mengganti file skor game tinggi.

BillThor
sumber