RH安全咨询如何解读

Question

我在 RHEL 7 上：

[root@localhost ~]# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.9 (Maipo)

由于我安装了 yum-plugin-security，我正在寻找严重性 =important 的安全相关补丁。根据输出，有一个可用。

[root@localhost ~]# yum updateinfo --sec-severity Important
Loaded plugins: product-id, search-disabled-repos, subscription-manager
Updates Information Summary: updates
    1 Important Security notice(s)
updateinfo summary done

如果我进一步观察，我会得到诸如 RHSA 和 CVE 之类的详细信息：

 [root@localhost ~]# yum updateinfo info --sec-severity Important
    Loaded plugins: product-id, search-disabled-repos, subscription-manager
    
    ===============================================================================
      Important: freetype security update
    ===============================================================================
      Update ID : RHSA-2020:4907
        Release : 0
           Type : security
         Status : final
         Issued : 2020-11-04 09:39:15 UTC
           Bugs : 1890210 - CVE-2020-15999 freetype: Heap-based buffer overflow due to integer truncation in Load_SBit_Png
           CVEs : CVE-2020-15999
    Description : FreeType is a free, high-quality, portable font engine that can
                : open and manage font files. FreeType loads, hints,
                : and renders individual glyphs efficiently.
                :
                : Security Fix(es):
                :
                : * freetype: Heap-based buffer overflow due to
                :   integer truncation in Load_SBit_Png
                :   (CVE-2020-15999)
                :
                : For more details about the security issue(s),
                : including the impact, a CVSS score,
                : acknowledgments, and other related information,
                : refer to the CVE page(s) listed in the References
                : section.
       Severity : Important
    updateinfo info done

查看 inux RHSA-2020:4907 --> 更新包我可以看到包含修复程序的包：

当我检查当前版本并与更新时将安装的版本进行比较时，我可以看到当前版本是freetype-2.8-14.el7.x86_64并且要安装的将是包含补丁的包版本 包freetype.x86_64 0:2.8-14.el7_9.1将是一个更新：

但我有几个问题。

1. 为什么 RedHat 安全公告在 Updated Packages 下显示了其他 rpm 包（请查看带有红色问号的那些）。我没有安装 freetype-debuginfo、freetype-devel、freetype-demos 包。我是否必须将我的操作系统版本下列出的所有软件包和 RHSA 中的 arch 置于同一级别？

2. 如果我安装了该建议，我将看不到任何上述（第 1 点）提到的软件包正在安装/更新：

任何人都可以提供解释吗？

谢谢 ！

Answer 1

其他软件包是同一公告的一部分，但您只需要在已安装它们的情况下升级它们。这些debuginfo包提供调试信息，通常只有在您调查 Freetype 中的崩溃或使用库进行开发时才需要这些信息；该demos包包含演示工具，devel包包含仅使用 Freetype 构建程序所需的开发文件。

yum update --advisory RHSA-2020:4907

将为您做正确的事情：它将升级任何需要升级的软件包，而无需安装任何您不需要的额外内容。