随着 Ubuntu Pro 的发布,Laravel Forge 配置的服务器容易受到攻击

jal*_*ert 3 security vulnerability laravel esm ubuntu-pro

自 Canonical 今年发布 Ubuntu Pro 以来,他们现在保留了许多常见软件包的一些安全补丁,包括 Laravel Forge 配置服务器上包含的一些补丁。

我使用 AWS Inspector 监控 EC2 实例上的漏洞,突然出现几个中等严重性漏洞,无法通过无人值守升级甚至手动安装来修复。作为“ESM”服务的一部分,这些补丁仅限于 Ubuntu Pro 用户。这不仅适用于较旧的安装 - 我在 22.04.2 LTS 版本上显示了几个漏洞,并且我正在快速接近 SLA,以解决我们的 SOC II 协议的这些漏洞。在过去两年我一直使用 Forge + Ubuntu + AWS Inspector 时,这从来都不是问题。所有漏洞始终可以通过无人值守升级或偶尔的 apt-get update/upgrade 加上服务器重新启动来修补。我不太确定最好的行动方案是什么——但可能许多企业 Forge 用户很快就会开始感受到这一点的影响。也许还有另一个可以使用的 Unix 发行版,或者 Forge 可以与 Canonical 合作,以合理的成本配置“Pro”服务器?

现在还有其他人处理这个问题或者对如何最好地处理这种情况有什么想法吗?

use*_*733 5

这在过去两年里从来都不是问题”仅仅意味着您对 Universe 中的 CVE 视而不见。好吧,现在你可以看到它们了。

从 esm 安装软件包的唯一方法是订阅 Pro。如果这就是 SLA 所要求的,那么您显然有多种选择。

这些不是技术选择——而是商业模式选择。

  • 修改您的 SLA
  • 停止使用Universe软件
  • 使用 Ubuntu 的 6 个月版本而不是 LTS
  • 订阅
  • 创建/加入不同的(非专业)组来修补或缓解 Universe CVE

另请注意,您使用的任何审核方法显然都无效。它应该一直揭示那些未打补丁的 Universe CVE。