อูบุนตูมักโพสต์การอัปเดตความปลอดภัยทันเวลาหรือไม่?

ปัญหาคอนกรีตที่: แพคเกจ Nginx oneiricที่ 1.0.5-1 รุ่นได้รับการปล่อยตัวในเดือนกรกฎาคม 2011 เป็นไปตามการเปลี่ยนแปลง

ช่องโหว่ที่ผ่านมาหน่วยความจำการเปิดเผยข้อมูล ( หน้าที่ปรึกษา , CVE-2012-1180 , DSA-2434-1 ) ไม่ได้รับการแก้ไขใน 1.0.5-1 ถ้าฉันไม่ได้อ่านผิดหน้า Ubuntu CVE ดูเหมือนว่า Ubuntu ทุกรุ่นจะมีช่องโหว่ nginx

1. มันเป็นเรื่องจริงเหรอ?

   ถ้าเป็นเช่นนั้นผมคิดว่ามีทีมรักษาความปลอดภัยที่ Canonical ที่ทำงานอย่างแข็งขันในประเด็นเช่นนี้ดังนั้นผมจึงคาดว่าจะได้รับการปรับปรุงการรักษาความปลอดภัยภายในระยะเวลาสั้น ๆ (ชั่วโมงหรือวัน) apt-get updateผ่าน

2. การคาดหวังนี้หรือไม่ - การทำให้แพ็คเกจของฉันเป็นปัจจุบันเพียงพอที่จะหยุดเซิร์ฟเวอร์ของฉันจากการพบช่องโหว่ - โดยทั่วไปผิดหรือเปล่า?

3. ถ้าเป็นเช่นนั้นฉันควรทำอย่างไรเพื่อให้ปลอดภัย การอ่านประกาศความปลอดภัยของ Ubuntuจะไม่ช่วยในกรณีนี้เนื่องจากช่องโหว่ nginx ไม่เคยโพสต์ที่นั่น

ปัจจุบันอูบุนตูถูกแบ่งออกเป็นสี่องค์ประกอบหลัก, จำกัด , จักรวาลและลิขสิทธิ์ แพ็คเกจในส่วนหลักและแบบ จำกัด ได้รับการสนับสนุนโดยทีมรักษาความปลอดภัย Ubuntu ตลอดอายุการใช้งานของรุ่น Ubuntu ในขณะที่แพคเกจในจักรวาลและลิขสิทธิ์ได้รับการสนับสนุนโดยชุมชน Ubuntu ดูคำถามที่พบบ่อยของทีมรักษาความปลอดภัยสำหรับข้อมูลเพิ่มเติม

เนื่องจาก nginx อยู่ในคอมโพเนนต์ของจักรวาลจึงไม่ได้รับการปรับปรุงจากทีมรักษาความปลอดภัย มันขึ้นอยู่กับชุมชนเพื่อแก้ไขปัญหาความปลอดภัยในแพ็คเกจนั้น ดูที่นี่สำหรับขั้นตอนที่แน่นอน

คุณสามารถใช้ Software Center หรือubuntu-support-statusเครื่องมือบรรทัดคำสั่งเพื่อพิจารณาว่าแพ็กเกจใดได้รับการสนับสนุนอย่างเป็นทางการและนานเท่าใด

อัปเดตจากอนาคต : Nginx กำลังย้ายไปที่หลักดังนั้นจะได้รับการสนับสนุนจากทีมรักษาความปลอดภัย Ubuntu ณ จุดนั้น หากคุณไม่แน่ใจว่าเวอร์ชั่นของคุณจะเป็นเช่นไรให้ดูapt-cache show nginxและมองหาแท็ก "มาตรา" เมื่ออยู่ใน Main คุณจะได้รับการสนับสนุนจาก Canonical

แพคเกจ Nginx ใน ppa Version 1.1.17-2 uploaded on 2012-03-19แม่นยำที่

หากคุณต้องการแพทช์สำหรับ CVEs ที่ยังอยู่ในผู้สมัครและไม่เป็นที่ยอมรับคุณอาจพิจารณาเพิ่มสัญญาซื้อขายไฟฟ้า

กับแพคเกจนี้โดยเฉพาะและข้อผิดพลาดที่นี่มีบันทึกจากการติดตามแพคเกจข้อผิดพลาด

แพคเกจภายในพื้นที่เก็บข้อมูล 'หลัก' ของ Ubuntu ได้รับการปรับปรุงอย่างแข็งขันโดย Canonical (เพื่อเป็นส่วนหนึ่งของการติดตั้งเริ่มต้นแพคเกจจะต้องอยู่ในหลัก)

อย่างไรก็ตามสำหรับแพ็คเกจเช่น nginx ที่อยู่ใน "universe" ดังนั้นฉันจะไม่คาดหวังการอัปเดตความปลอดภัยในเวลาที่เหมาะสม เนื่องจากแพ็คเกจเหล่านี้ดูแลโดยอาสาสมัครมากกว่า Canonical มันจะไม่สมเหตุสมผลที่จะคาดหวังว่า Canonical จะตรวจสอบชุดของหมื่นที่มีอยู่ในจักรวาลอย่างต่อเนื่อง

สำหรับแพ็คเกจที่อยู่บนการแจกแจงแบบ Debian เช่น Ubuntu แพตช์ความปลอดภัยจะได้รับการส่งกลับไปยังรีลีสปัจจุบัน รุ่นที่วางจำหน่ายไม่ได้รับการอัปเดตเนื่องจากอาจแนะนำคุณสมบัติที่เข้ากันไม่ได้ แต่ทีมรักษาความปลอดภัย (หรือผู้ดูแลแพคเกจ) จะใช้โปรแกรมปรับปรุงความปลอดภัยกับรุ่นปัจจุบันโดยปล่อยรุ่นที่ได้รับการแก้ไข

1. เวอร์ชันที่ปรับใช้ในปัจจุบันอาจมีความเสี่ยงเนื่องจากไม่ได้รับการสนับสนุนโดยทีมรักษาความปลอดภัยของ Ubuntu นี่ไม่ได้หมายความว่ามันมีช่องโหว่ตามที่ผู้ดูแลแพคเกจอาจแก้ไขได้ ตรวจสอบchangelogใน/usr/share/doc/nginxไดเรกทอรีเพื่อดูว่าแพตช์รักษาความปลอดภัยได้รับการย้อนกลับ หากไม่ใช่โปรแกรมแก้ไขอาจกำลังดำเนินการและมีอยู่ในรุ่นทดสอบ

2. คุณถูกต้องโดยสมมติว่าการรักษาเซิร์ฟเวอร์ของคุณให้ทันสมัยอยู่เสมอจะช่วยลดระยะเวลาที่คุณใช้งานซอฟต์แวร์ที่ไม่ปลอดภัย มีแพ็คเกจที่สามารถกำหนดค่าให้ดาวน์โหลดโดยอัตโนมัติและติดตั้งอัพเดตเสริม สิ่งเหล่านี้ยังสามารถแจ้งได้ว่าแพตช์ใดที่ติดตั้งหรือพร้อมสำหรับการติดตั้ง

3. สำหรับแพ็คเกจที่ไม่ได้รับการสนับสนุนโดยทีมรักษาความปลอดภัยคุณอาจต้องใส่ใจกับปัญหาความปลอดภัยที่โดดเด่นใด ๆ ประเมินความเสี่ยงเนื่องจากช่องโหว่ทั้งหมดไม่สามารถใช้ประโยชน์ได้กับทุกระบบ บางคนอาจจะขึ้นอยู่กับการกำหนดค่าหรือต้องการการเข้าถึงในท้องถิ่น คนอื่นอาจไม่ได้มีความสำคัญหากไม่มีปัญหาอื่น ๆ เช่นการใช้ประโยชน์จากสภาพการแข่งขันเพื่อแทนที่ไฟล์เกมที่มีคะแนนสูง