Ubuntu通常会发布及时的安全更新吗?


32

具体问题:Oneiric nginx软件包的版本为1.0.5-1,根据changelog于2011年7月发布。

最近存储器泄露漏洞(咨询页CVE-二〇一二年至1180年DSA-2434-1)是不固定在1.0.5-1。如果我没有误读Ubuntu CVE页面,则所有Ubuntu版本似乎都附带了易受攻击的Nginx。

  1. 这是真的?

    如果是这样:我以为Canonical中有一个安全团队正在积极处理此类问题,因此我希望在短时间内(数小时或数天)获得安全更新apt-get update

  2. 这种期望(使我的软件包保持最新状态足以阻止我的服务器遭受已知漏洞)通常是错误的吗?

  3. 如果是这样:我应该怎么做以确保其安全?在这种情况下,阅读Ubuntu安全公告将无济于事,因为nginx漏洞从未发布过。


4
我+1了,因为有一个具体的问题需要引用。
RobotHumans 2012年

Answers:


39

目前,Ubuntu分为四个组件:主要组件,受限组件,Universe和multiverse。在Ubuntu发行期内,Ubuntu Security团队支持main和strict软件包,而Ubuntu社区则支持Universe和multiverse软件包。有关更多信息,请参阅安全团队常见问题解答

由于nginx在Universe组件中,因此它不会从安全团队获取更新。由社区来解决该程序包中的安全问题。请参阅此处以获取确切步骤

您可以使用软件中心或ubuntu-support-status命令行工具来确定正式支持哪些软件包以及持续多长时间。


将来的更新:Nginx正在向主要方向发展,因此届时将获得Ubuntu安全团队的支持。如果不确定您的版本是否apt-cache show nginx可用,请查看并寻找“ Section”标签。在Main中时,您将获得Canonical支持。


请注意,ubuntu-support-status有问题,因此您可能没有运气:bugs.launchpad.net/ubuntu/+source/update-manager/+bug/849532
Ben McCann

14

ppa中用于精确的nginx软件包位于Version 1.1.17-2 uploaded on 2012-03-19

如果您需要仍处于候选状态且未被接受的CVE补丁,则可以考虑添加ppas

关于这个特定的程序包和错误,这里有一些程序包错误跟踪器的注释。


4

Canonical积极地更新Ubuntu“主”存储库中的软件包。(要成为默认安装的一部分,必须在main内部包含一个软件包。)

但是,对于“ Universe”中的诸如nginx之类的软件包,则我不希望及时进行安全更新。这是因为这些软件包是由志愿者维护的,而不是由Canonical维护的。期望Canonical不断监视宇宙中存在的成千上万个软件包是不合理的。


1

对于基于Debian的发行版(例如Ubuntu)上的软件包,安全补丁已反向移植到当前版本中。发行版本未更新,因为这可能会引入不兼容的功能。相反,安全团队(或程序包维护者)会将安全补丁应用到当前版本,然后发布补丁版本。

  1. 当前部署的版本可能容易受到攻击,因为Ubuntu安全团队不支持该版本。这并不意味着它容易受到攻击,因为软件包维护者可能已对其进行了修补。检查changelog/usr/share/doc/nginx目录,查看是否安全补丁已经被移植。否则,补丁可能正在开发中,并且可以在测试版本中使用。

  2. 您认为服务器保持最新状态将大大减少运行不安全软件的时间是正确的。有些软件包可以配置为自动下载和可选的安装更新。这些还可以通知已安装或已准备好安装哪些修补程序。

  3. 对于安全团队不支持的软件包,您可能需要注意任何未解决的安全问题。评估风险,因为并非所有系统都可以利用所有漏洞。有些可能取决于配置或需要本地访问。其他方面可能没有其他问题就没有那么重要了,例如,利用比赛条件替换游戏高分文件。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.