我有危险吗?如何解释 debscan 漏洞输出?
new*_*nux 3 security debian upgrade
今天我看到一段关于如何识别漏洞的文章
debsecan被提到。我下载并执行debsecan,结果我收到了一份非常长且令人震惊的报告。
编辑
- 我确实跑了
debsecan --suite=stretch - 我正在运行 debianstretch 9.9,内核为 4.9.0-9-amd64
- 我的sources.list包含:
deb http://ftp.stw-bonn.de/debian/ 拉伸主线 deb-src http://ftp.stw-bonn.de/debian/ 拉伸主线 deb http://security.debian.org/debian-securitystretch/updates main deb-src http://security.debian.org/debian-securitystretch/updates main # 拉伸更新,以前称为“易失性” deb http://ftp.stw-bonn.de/debian/stretch-updates main deb-src http://ftp.stw-bonn.de/debian/stretch-updates main # Backports ### 要从 Backports 安装软件包: apt-get -tstretch-backports install "package" deb http://deb.debian.org/debian stretch-backports main
首先,我认为使用apt update && apt -y upgrade就足以保持最新状态。但当我看到关于 debsecan 我有这么多具有已知漏洞的工具,尤其是那些高度紧急的工具时,情况似乎并非如此。仅举几个:busybox、unrar、multiarch-support、bsdutils、mount、login、util-linux...
然后我检查了例如 CVE-2016-2779 util-linux (高度紧急)。
关于 security-tracker.debian.org,版本 2.33.1-0.1(buster、sid)中有一个修复。
所以我希望我能以某种方式升级该软件包。
您对我如何实现这一目标有什么建议吗?我尝试过,apt-get -t stretch-backports install util-linux但这没有帮助。
正如我所读到的,我可以升级到 debian-testing 作为一种选择。还有其他选择吗?
就像我的名字所暗示的那样,我是 Linux 新手。这一切对我来说都是新的。直到昨天,我还以为我的机器会始终保持最新状态,但现在我发现事实并非如此。
我编辑了我的问题,因为人们指出我不要在 ubuntu 安装上使用 debsecan,因为 debsecan 不打算在 ubuntu 内部使用,尽管您可以使用 apt 从 ubuntu 存储库下载它。不知道为什么你可以下载一个最终不适合在你的发行版中使用的工具,但是没关系。
debsecan使用一系列记录漏洞和修复可用性的数据库;但这些数据库仅适用于 Debian 套件。如果您在 Ubuntu 系统上运行它,则结果至少不会考虑 Ubuntu 特定版本中修复的安全问题,例如QEMU 接收与 Debian 版本分开的 Ubuntu 安全版本。
在 Debian 中,您可以使用debsecan该--suite选项或其软件包配置(sudo apt install debsecan即使在 Ubuntu 中,您也可以通过使用 来安装它来查看 xe2x80x99d)来跟踪您使用的任何版本;但所需信息对于 Ubuntu 版本来说\xe2\x80\x99t 不可用,因此debsecan对于 Ubuntu 可以以相同的方式使用 xe2\x80\x99t。
如果您查看报告中列出的所有 CVE,我想您\xe2\x80\x99 会发现其中大多数(以及所有严重的)在您的 Ubuntu 版本中已修复,但这debsecan并没有\xe2\x80\ x99不知道这些修复。您\xe2\x80\x99正在使用Ubuntu的支持版本,apt update && apt upgrade应该足以让你保持最新状态(你\xe2\x80\x99总是面临未被发现的漏洞的风险,并且在\xe2\x80\x94期间希望发现和修复可用性之间以及配置错误之间的\xe2\x80\x94 窗口很短;但是\xe2\x80\x99 是任何发行版的情况)。
| 归档时间: |
|
| 查看次数: |
2934 次 |
| 最近记录: |