我如何知道CVE是否已在Ubuntu的存储库中修复？

今天NTP几个缓冲区溢出公布1，2。看来我正在更新我的系统以修复这些问题。

我如何确定它们是否已在Ubuntu存储库中修复，例如，如果要运行，请执行以下操作：

sudo apt-get update
sudo apt-get upgrade

那么将安装此修复程序并关闭漏洞吗？

编辑：选定的答案专门针对如何识别给定CVE是否已修复的问题，“ Ubuntu通常发布及时的安全更新吗？” 3肯定相关但不完全相同

您正在寻找的是Ubuntu Security Notifications，它们未在存储库中明确列出。 此页面是Ubuntu安全通知的主要列表。

对于单个软件包，解决安全修复程序的更新位于其自己的特殊存储库中-security。使用Synaptic，您可以切换到“原始”视图，并查看RELEASE-security口袋中的包装。

Ubuntu安全团队的CVE跟踪器中也列出了所有CVE-在此处特别引用了您的CVE 。对于您在此处引用的CVE-2014-9295，尚未修复。

一旦有可用的更新，它将sudo apt-get update; sudo apt-get upgrade在安全性存储库中发布后将被检测到。

尽管接受的答案是正确的，但我经常可以通过查看程序包的变更日志来找到此信息，这比查找CVE跟踪器或安全通知列表要容易得多。例如：

sudo apt-get update
apt-get changelog ntp

上面命令的输出包括：

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Sat, 20 Dec 2014 05:47:10 -0500
...

这清楚地表明您提到的错误已在ubuntu存储库中修复。然后可以运行：

sudo apt-get upgrade

拉下解决办法。

我认为您是在谈论检查软件包的变更日志？看看有什么新功能，主要的大补丁等？Synaptic有一个简单的方法来尝试和下载变更日志。

或者，如果更改日志不可用或太简短，最好的方法可能是记下可用版本，然后转到开发人员网站并希望查看更详细的更改。

如果运行这些命令，则将获得存储库中的所有修复程序-但可能尚未修复。如果启用了“更新通知程序”（任务栏小部件），则在有系统或安全更新时会收到通知（安全更新也将这样注明）。然后，只要将补丁发布到Ubuntu上，您就可以获取它们，而不必担心它们。