今天宣布了 NTP 中的几个缓冲区溢出1、2。看起来更新我的系统以解决这些问题是有序的。
我如何知道它们是否已在 Ubuntu 存储库中修复,以便我运行:
sudo apt-get update
sudo apt-get upgrade
那么修复程序将被安装并关闭漏洞?
编辑:所选答案专门解决了如何确定给定 CVE 是否已修复的问题,“Ubuntu 通常会及时发布安全更新吗?” 3肯定相关但不完全相同
我们有一个运行 OpenVPN 的 AWS 服务器,它是使用 Ubuntu 13.10 构建的。在宣布 Heartbleed 漏洞后,我们更新了服务器。今天早上,我们将服务器升级到 14.04。“openssl version -a”的当前输出是:
OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr 7 21:22:23 UTC 2014
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/usr/lib/ssl"
我使用以下方法验证了服务器仍然易受攻击的事实:
:~$ openssl s_client -connect openvpn.example.com:443 -tlsextdebug 2>&1| grep …