Bagaimana saya bisa tahu apakah CVE telah diperbaiki di repositori Ubuntu?

Hari ini beberapa buffer overflows di NTP diumumkan 1 , 2 . Sepertinya memperbarui sistem saya untuk memperbaiki masalah ini agar.

Bagaimana saya bisa mengetahui apakah mereka telah diperbaiki di repositori Ubuntu, sehingga jika saya menjalankan:

sudo apt-get update
sudo apt-get upgrade

maka perbaikan akan diinstal dan kerentanan ditutup?

Sunting: Jawaban yang dipilih secara khusus menjawab pertanyaan tentang bagaimana mengidentifikasi apakah CVE yang diberikan telah diperbaiki atau tidak, "Apakah Ubuntu umumnya memposting pembaruan keamanan yang tepat waktu?" 3 tentu terkait tetapi tidak identik

Apa yang Anda cari adalah Pemberitahuan Keamanan Ubuntu dan tidak jelas tercantum dalam repositori. Halaman ini adalah daftar Pemberitahuan Keamanan Ubuntu utama.

Sedangkan untuk masing-masing paket, pembaruan yang membahas perbaikan keamanan ada dalam repositori khusus mereka sendiri, -securitypocket. Menggunakan Synaptic, Anda dapat beralih ke tampilan "Asal", dan melihat paket di RELEASE-securitysaku.

Semua CVE juga terdaftar di pelacak CVE Tim Keamanan Ubuntu - dengan CVE yang dirujuk secara khusus di sini . Dalam kasus CVE-2014-9295 yang Anda referensi di sini, itu belum diperbaiki.

Setelah pembaruan tersedia, pembaruan akan terdeteksi sudo apt-get update; sudo apt-get upgradesetelah dirilis di repositori keamanan.

Walaupun jawaban yang diterima benar, saya sering menemukan saya bisa mengetahui info ini dengan melihat changelog suatu paket, dan itu lebih mudah daripada menjelajahi pelacak CVE atau daftar pemberitahuan keamanan. Sebagai contoh:

sudo apt-get update
apt-get changelog ntp

Output dari perintah di atas termasuk:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <[email protected]>  Sat, 20 Dec 2014 05:47:10 -0500
...

Yang jelas menunjukkan bahwa bug yang Anda sebutkan telah diperbaiki di repositori ubuntu. Anda kemudian dapat menjalankan:

sudo apt-get upgrade

untuk menarik ke bawah perbaikan.

Saya pikir Anda sedang berbicara tentang memeriksa changelog paket? Untuk melihat apa yang baru, perbaikan besar, dll? Synapticmemiliki cara mudah untuk mencoba & mengunduh changelogs.

Atau jika changelog tidak tersedia atau terlalu singkat, cara terbaik untuk mencatat versi yang tersedia, dan buka situs web pengembang & lihat perubahan yang diharapkan lebih mendetail.

Jika Anda menjalankan perintah-perintah itu, Anda akan mendapatkan perbaikan apa pun yang ada di repositori - tetapi itu mungkin belum. Jika Anda mengaktifkan Pembaruan Pemberitahuan (widget baki), Anda akan mendapatkan pemberitahuan setiap kali ada pembaruan sistem atau keamanan (dan pembaruan keamanan akan dicatat seperti itu). Kemudian Anda akan mendapatkan tambalan segera setelah mereka keluar untuk Ubuntu, tanpa harus stres.