具体问题:Oneiric nginx软件包的版本为1.0.5-1,根据changelog于2011年7月发布。
最近存储器泄露漏洞(咨询页,CVE-二〇一二年至1180年,DSA-2434-1)是不固定在1.0.5-1。如果我没有误读Ubuntu CVE页面,则所有Ubuntu版本似乎都附带了易受攻击的Nginx。
这是真的?
如果是这样:我以为Canonical中有一个安全团队正在积极处理此类问题,因此我希望在短时间内(数小时或数天)获得安全更新
apt-get update
。这种期望(使我的软件包保持最新状态足以阻止我的服务器遭受已知漏洞)通常是错误的吗?
如果是这样:我应该怎么做以确保其安全?在这种情况下,阅读Ubuntu安全公告将无济于事,因为nginx漏洞从未发布过。