具体问题:Oneiric nginx 包的版本为 1.0.5-1,根据changelog于 2011 年 7 月发布。
最近的内存泄露漏洞(咨询页面,CVE-2012-1180,DSA-2434-1)在 1.0.5-1 中没有修复。如果我没有误读 Ubuntu CVE 页面,所有 Ubuntu 版本似乎都带有一个易受攻击的 nginx。
这是真的?
如果是这样:我认为 Canonical 有一个安全团队正在积极处理此类问题,因此我希望在短时间内(数小时或数天)通过apt-get update.
这种期望——保持我的包是最新的就足以阻止我的服务器具有已知的漏洞——通常是错误的吗?
如果是这样:我应该怎么做才能保证它的安全?在这种情况下,阅读Ubuntu 安全通知无济于事,因为 nginx 漏洞从未发布在那里。
小智 39
Ubuntu 目前分为四个组成部分:main、restricted、universe 和 multiverse。Ubuntu 安全团队在 Ubuntu 发行版的整个生命周期内支持主要和限制中的软件包,而 Ubuntu 社区支持 Universe 和 multiverse 中的软件包。有关更多信息,请参阅安全团队常见问题解答。
由于 nginx 位于 Universe 组件中,因此它不会从安全团队获取更新。由社区来修复该包中的安全问题。请参阅此处了解确切程序。
您可以使用软件中心或ubuntu-support-status命令行工具来确定官方支持哪些软件包以及支持多长时间。
未来更新:Nginx 正在转向 main,因此届时将获得 Ubuntu 安全团队的支持。如果您不确定您的版本是否会,只需查看apt-cache show nginx并查找“Section”标签。当它在 Main 中时,您将获得 Canonical 对它的支持。
| 归档时间: |
|
| 查看次数: |
1460 次 |
| 最近记录: |