那些遇到过的问题

cron-apt 通知我,我的 Debian 系统上有待处理的安全更新,但我找不到相应的公告。我该如何进行?

Hei*_*nzi 10 security debian software-updates

今天,cron-apt 通知我,我的 Debian 稳定系统上有待处理的安全更新:

CRON-APT RUN [/etc/cron-apt/config]: Tue Jan 25 04:00:01 CET 2022
CRON-APT SLEEP: 3076, Tue Jan 25 04:51:17 CET 2022
CRON-APT ACTION: 3-download
CRON-APT LINE: /usr/bin/apt-get -o quiet=1 dist-upgrade -d -y -o APT::Get::Show-Upgraded=true
Reading package lists...
Building dependency tree...
Reading state information...
Calculating upgrade...
The following package was automatically installed and is no longer required:
  linux-image-5.10.0-9-amd64
Use 'apt autoremove' to remove it.
The following packages will be upgraded:
  bsdextrautils bsdutils eject libblkid1 libmount1 libsmartcols1 libuuid1
  mount util-linux util-linux-locales
10 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 3561 kB of archives.
After this operation, 16.4 kB of additional disk space will be used.
Get:1 http://security.debian.org bullseye-security/main amd64 bsdutils amd64 1:2.36.1-8+deb11u1 [148 kB]
Get:2 http://security.debian.org bullseye-security/main amd64 util-linux amd64 2.36.1-8+deb11u1 [1141 kB]
Get:3 http://security.debian.org bullseye-security/main amd64 mount amd64 2.36.1-8+deb11u1 [186 kB]
Get:4 http://security.debian.org bullseye-security/main amd64 bsdextrautils amd64 2.36.1-8+deb11u1 [145 kB]
Get:5 http://security.debian.org bullseye-security/main amd64 libblkid1 amd64 2.36.1-8+deb11u1 [193 kB]
Get:6 http://security.debian.org bullseye-security/main amd64 libmount1 amd64 2.36.1-8+deb11u1 [212 kB]
Get:7 http://security.debian.org bullseye-security/main amd64 libsmartcols1 amd64 2.36.1-8+deb11u1 [158 kB]
Get:8 http://security.debian.org bullseye-security/main amd64 libuuid1 amd64 2.36.1-8+deb11u1 [83.9 kB]
Get:9 http://security.debian.org bullseye-security/main amd64 eject amd64 2.36.1-8+deb11u1 [102 kB]
Get:10 http://security.debian.org bullseye-security/main amd64 util-linux-locales all 2.36.1-8+deb11u1 [1192 kB]
Fetched 3561 kB in 0s (47.6 MB/s)
Download complete and in download only mode
Run Code Online (Sandbox Code Playgroud)

但是,查看https://www.debian.org/security/,我没有找到匹配的公告:

最近的建议

这些网页包含发布到 debian-security-announce 列表中的安全公告的精简存档。

[2022 年 1 月 21 日] DSA-5052-1 usbview 安全更新
[2022 年 1 月 20 日] DSA-5051-1 aide 安全更新
[2022 年 1 月 20 日] DSA-5050-1 linux 安全更新
[2022 年 1 月 15 日] DSA-5048-1 libreswan安全更新
...

因此,要么(1)公告被延迟,要么(2)出现可疑情况。(我知道(1)的概率比(2)高得多,但仍然......)

我该如何验证这确实是真正的良性安全更新?我尝试查看其中一个更新包的包信息页面(https://packages.debian.org/bullseye/bsdutils),但右侧的“Debian Changelog”链接显示上次修改是一半一年前。

笔记:

  • 虽然我对这个特定案例的答案感兴趣,但我更感兴趣的是关于如何在这种情况下进行的一般答案(请参阅上面的粗体问题)。
  • 如果您认为这个问题更适合security.se,请随意迁移。

Ste*_*itt 14

假设您仍然信任基础架构,您可以通过请求系统上的更改日志来找出更改的内容;例如

\n
$ apt changelog util-linux/bullseye-security\nutil-linux (2.36.1-8+deb11u1) bullseye-security; urgency=high\n\n  * Non-maintainer upload by the Security Team.\n  * include/strutils: Add ul_strtou64() function\n  * libmount: fix UID check for FUSE umount [CVE-2021-3995]\n  * libmount: fix (deleted) suffix issue [CVE-2021-3996]\n\n -- Salvatore Bonaccorso <carnil@debian.org>  Thu, 20 Jan 2022 21:10:35 +0100\n\n...\n
Run Code Online (Sandbox Code Playgroud)\n

(这会从存储库查询更改日志,\xe2\x80\x99 不需要您应用升级。)

\n

在您的情况下,所有更新的包都来自util-linux源包,因此它们都将显示相同的更改日志。虽然修复只涉及libmount,但上传固定源包意味着重建它生成的所有二进制包,并将它们全部作为安全更新发布。

\n

此信息也可以在包跟踪器上找到,它提供了更改日志安全跟踪器(以及许多其他跟踪器)的链接。当问题被写出来时,安全跟踪器已经关闭,这可能解释了为什么其他一些页面没有像您期望的那样更新;DSA 于 1 月 24 日发出

\n

如果您想检查发生了什么变化,可以下载原始和更新的源代码:

\n
$ apt source util-linux/{stable,bullseye-security}\n
Run Code Online (Sandbox Code Playgroud)\n

并在大多数情况下比较下载的 tarball \xe2\x80\x94,仅比较 tarball .debian,在这种情况下util-linux_2.36.1-8.debian.tar.xzutil-linux_2.36.1-8+deb11u1.debian.tar.xz

\n
$ mkdir ulo uls; tar xf util-linux_2.36.1-8.debian.tar.xz -C ulo; tar xf util-linux_2.36.1-8+deb11u1.debian.tar.xz -C uls\n$ diff -urN ulo uls | less\n
Run Code Online (Sandbox Code Playgroud)\n

Hei*_*nzi 6

Debian 主页上的“最新建议”列表已过时,请查看邮件列表档案 ( https://lists.debian.org/debian-security-announce/ )。

在那里,您会发现util-linux 的通报已于昨天发送。正如评论中提到的,该错误涉及libmount,这解释了其他包更新。

归档时间:

查看次数:

1475 次

最近记录:

3 年,11 月 前
相关归档
在 Linux 中为特定用户阻止特定命令 27
查看未安装软件包的手册页? 14
使用“find -exec”有哪些安全问题和竞争条件? 14
从 debian 卸载 geoclue 11
Debian 10 克星 | 更新grub | 找不到相关命令 10
如何不是每天而是每隔几个小时运行一次无人值守升级 8
每次启动时随机MAC地址 5
gpg:签名失败:没有这样的文件或目录 4
在内核开发的背景下,“禁运”是如何工作的? 3
为什么在 ssh 客户端中使用 -i 选项指定私钥? 1
难疑归档
如何将终端拆分为多个“视图”? 304
在 Ubuntu 中更改 Python3 默认版本 257
使用 wget 下载到与当前目录不同的目录 136
递归全局? 119
$* 和 $@ 有什么区别? 119
为文件系统上的 root 保留空间 - 为什么? 114
为什么我要压缩单个文件? 103
变量上的 grep 99
Linux 上密码哈希的第 6 个字符是什么,为什么它经常是斜杠? 86
如何在顶部查看特定进程 86