具体问题:Oneiric nginx 包的版本为 1.0.5-1,根据changelog于 2011 年 7 月发布。
最近的内存泄露漏洞(咨询页面,CVE-2012-1180,DSA-2434-1)在 1.0.5-1 中没有修复。如果我没有误读 Ubuntu CVE 页面,所有 Ubuntu 版本似乎都带有一个易受攻击的 nginx。
这是真的?
如果是这样:我认为 Canonical 有一个安全团队正在积极处理此类问题,因此我希望在短时间内(数小时或数天)通过apt-get update.
这种期望——保持我的包是最新的就足以阻止我的服务器具有已知的漏洞——通常是错误的吗?
如果是这样:我应该怎么做才能保证它的安全?在这种情况下,阅读Ubuntu 安全通知无济于事,因为 nginx 漏洞从未发布在那里。