我有几台运行Xenial(16.04 LTS)的服务器。我运行了一个安全扫描工具(AWS Inspector),该工具显示了服务器上未修补的CVE漏洞的列表。其中很多与binutils有关,例如https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-6323.html
我可以看到在软件包更新上方的Canonical链接上已标记为需要,但是我这样做:
sudo apt-get update
sudo apt-get upgrade --dry-run
我看不到补丁。我最近成功运行了升级,因此没有什么新鲜的。但是binutils仍在触发警报,版本为2.26.1-1ubuntu1~16.04.8。
有没有办法升级binutils来修补Xenial上的这些漏洞?还是这是一个错误的警报?
在这种情况下,“需要”并不表示“我们已经上传了补丁包,您需要立即升级”。
相反,它的意思是“ Ubuntu Security Team尚未应用此补丁,但它在我们的工作清单中。”
您可以使用普通的旧apt-cache madison <packagename>命令再次进行检查。Madison将从您的发行版的Ubuntu存储库中返回当前可用的软件包。
例如,这是我在Xenial(16.04)中编写此代码时可用的内容:
binutils | 2.26-8ubuntu2 | xenial
binutils | 2.26.1-1ubuntu1~16.04.8 | xenial-security
binutils | 2.26.1-1ubuntu1~16.04.8 | xenial-updates
您会看到您的版本2.26.1-1ubuntu1~16.04.8是最新版本。
大多数人不需要通过检查apt-cache和运行apt命令来安装安全升级。如果您愿意,您当然可以支持。但是大多数一般使用的人应该使用无人值守升级应用程序,该应用程序是所有Ubuntu桌面版本和Ubuntu Server默认安装的一部分。它将每天在-security口袋中检查是否有新的升级,并在后台进行安装而不会引起任何麻烦。
如果您需要了解特定软件包的最新升级时间,则apt和无人值守升级都以易于grep格式将所有活动记录在/ var / log中。
关于此特定CVE的一个注意事项-您会注意到Ubuntu安全团队已将优先级标记为“低”。如果您的审核不断抛出该危险信号,请确保您的审核审阅者知道您正在跟踪它,但是它的优先级较低。如果您知道Ubuntu安全团队遗漏的有关此特定漏洞的信息,并认为它应该得到更高的优先级,请与安全团队联系并讨论该问题。
安全团队欢迎志愿者进行测试和协助。如果自愿提供帮助打包和测试低优先级的修复程序也可以清理您的审核,那就更好了。如果您对安全团队的工作方式,工作方式以及工作的优先顺序感到好奇,那么您可能会发现他们的播客很有启发性。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句