今天宣布了 NTP 中的几个缓冲区溢出1、2。看起来更新我的系统以解决这些问题是有序的。
我如何知道它们是否已在 Ubuntu 存储库中修复,以便我运行:
sudo apt-get update
sudo apt-get upgrade
那么修复程序将被安装并关闭漏洞?
编辑:所选答案专门解决了如何确定给定 CVE 是否已修复的问题,“Ubuntu 通常会及时发布安全更新吗?” 3肯定相关但不完全相同
Tho*_*ard 16
您正在寻找的是 Ubuntu 安全通知,它们在存储库中没有明确列出。 此页面是主要的 Ubuntu 安全通知列表。
至于单个包,解决安全修复的更新位于它们自己的特殊存储库中,即-security口袋。使用 Synaptic,您可以切换到“Origin”视图,并查看RELEASE-security口袋中的包。
所有 CVE 也列在Ubuntu 安全团队的 CVE 跟踪器中-在此处特别引用您的 CVE 。对于您在此处引用的 CVE-2014-9295,它尚未修复。
一旦更新可用,sudo apt-get update; sudo apt-get upgrade一旦它在安全存储库中发布,就会被检测到。
ral*_*ise 11
虽然接受的答案是正确的,但我经常发现我可以通过查看包的更新日志来找到这些信息,这比搜索 CVE 跟踪器或安全通知列表更容易。例如:
sudo apt-get update
apt-get changelog ntp
上述命令的输出包括:
...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium
* SECURITY UPDATE: weak default key in config_auth()
- debian/patches/CVE-2014-9293.patch: use openssl for random key in
ntpd/ntp_config.c, ntpd/ntpd.c.
- CVE-2014-9293
* SECURITY UPDATE: non-cryptographic random number generator with weak
seed used by ntp-keygen to generate symmetric keys
- debian/patches/CVE-2014-9294.patch: use openssl for random key in
include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
- CVE-2014-9294
* SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
- debian/patches/CVE-2014-9295.patch: check lengths in
ntpd/ntp_control.c, ntpd/ntp_crypto.c.
- CVE-2014-9295
* SECURITY UPDATE: missing return on error in receive()
- debian/patches/CVE-2015-9296.patch: add missing return in
ntpd/ntp_proto.c.
- CVE-2014-9296
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Sat, 20 Dec 2014 05:47:10 -0500
...
这清楚地表明您提到的错误已在 ubuntu 存储库中修复。然后你可以运行:
sudo apt-get upgrade
拉下修复。