ฉันจะรู้ได้อย่างไรว่า CVE ได้รับการแก้ไขในที่เก็บของ Ubuntu หรือไม่

วันนี้คู่ของหน่วยความจำล้นใน NTP ถูกประกาศ1 , 2 ดูเหมือนว่าการอัปเดตระบบของฉันเพื่อแก้ไขปัญหาเหล่านี้เป็นไปตามลำดับ

ฉันจะทราบได้อย่างไรว่าได้รับการแก้ไขในที่เก็บของ Ubuntu เช่นนั้นหรือไม่หากฉันต้องเรียกใช้:

sudo apt-get update
sudo apt-get upgrade

การแก้ไขจะได้รับการติดตั้งและช่องโหว่ถูกปิด

แก้ไข: คำตอบที่เลือกตอบคำถามของวิธีการระบุว่า CVE ที่กำหนดได้รับการแก้ไขหรือไม่ "อูบุนตูมักโพสต์ความปลอดภัยที่ทันเวลาหรือไม่" 3มีความเกี่ยวข้องอย่างแน่นอน แต่ไม่เหมือนกัน

สิ่งที่คุณกำลังมองหาคือการแจ้งเตือนความปลอดภัยของ Ubuntu และพวกเขาไม่ได้อยู่ในรายการอย่างชัดเจน หน้านี้เป็นรายการแจ้งเตือนความปลอดภัยหลักของ Ubuntu

สำหรับแต่ละแพ็คเกจอัพเดตที่แก้ไขการรักษาความปลอดภัยที่อยู่ในที่เก็บพิเศษของพวกเขา-securityกระเป๋า เมื่อใช้ Synaptic คุณสามารถสลับไปที่มุมมอง "Origin" และดูแพ็คเกจในRELEASE-securityกระเป๋า

CVE ทั้งหมดยังมีอยู่ในตัวติดตาม CVE ของทีมรักษาความปลอดภัยของ Ubuntu - ด้วย CVE อ้างอิงของคุณโดยเฉพาะที่นี่ที่นี่ในกรณีของ CVE-2014-9295 ที่คุณอ้างอิงที่นี่ยังไม่ได้รับการแก้ไข

เมื่ออัปเดตพร้อมใช้งานแล้วจะมีการตรวจพบsudo apt-get update; sudo apt-get upgradeเมื่อมีการเผยแพร่ในที่เก็บความปลอดภัย

ในขณะที่คำตอบที่ยอมรับนั้นถูกต้องฉันมักพบว่าฉันสามารถค้นหาข้อมูลนี้ได้ด้วยการดูการเปลี่ยนแปลงของแพ็คเกจและนั่นง่ายกว่าการกำจัด CVE trackers หรือรายการแจ้งเตือนความปลอดภัย ตัวอย่างเช่น:

sudo apt-get update
apt-get changelog ntp

ผลลัพธ์ของคำสั่งดังกล่าวรวมถึง:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

ซึ่งแสดงให้เห็นอย่างชัดเจนว่าข้อบกพร่องที่คุณกล่าวถึงได้รับการแก้ไขในที่เก็บอูบุนตู จากนั้นคุณสามารถเรียกใช้:

sudo apt-get upgrade

เพื่อดึงการแก้ไข

ฉันคิดว่าคุณกำลังพูดถึงการตรวจสอบการเปลี่ยนแปลงแพคเกจ? หากต้องการดูว่ามีอะไรใหม่การแก้ไขที่สำคัญและอื่น ๆSynapticมีวิธีง่าย ๆ ในการลอง & ดาวน์โหลด changelogs

หรือหากการเปลี่ยนแปลงไม่พร้อมใช้งานหรือสั้นเกินไปวิธีที่ดีที่สุดคือการบันทึกเวอร์ชันที่มีอยู่และไปที่เว็บไซต์นักพัฒนาซอฟต์แวร์ & ดูการเปลี่ยนแปลงที่มีรายละเอียดมากขึ้นโดยหวังว่า

หากคุณเรียกใช้คำสั่งเหล่านั้นคุณจะได้รับการแก้ไขใด ๆที่อยู่ในที่เก็บ - แต่สิ่งเหล่านั้นอาจยังไม่ได้ หากคุณเปิดใช้งานตัวแจ้งการอัปเดต (วิดเจ็ตถาด) คุณจะได้รับการแจ้งเตือนเมื่อใดก็ตามที่มีการอัปเดตระบบหรือความปลอดภัย (และการอัปเดตความปลอดภัยจะถูกบันทึกไว้เช่นนั้น) จากนั้นคุณจะได้รับแพตช์ทันทีที่ออกมาสำหรับ Ubuntu โดยไม่ต้องเครียดกับมัน