O Ubuntu geralmente publica atualizações de segurança oportunas?

32

Problema concreto: o pacote Oneiric nginx está na versão 1.0.5-1, lançada em julho de 2011, de acordo com o changelog .

A recente vulnerabilidade de divulgação de memória ( página de aviso , CVE-2012-1180 , DSA-2434-1 ) não foi corrigida na 1.0.5-1. Se não estou interpretando mal a página do Ubuntu CVE, todas as versões do Ubuntu parecem enviar um nginx vulnerável.

  1. Isso é verdade?

    Se assim for: eu pensei que havia uma equipe de segurança na Canonical trabalhando ativamente em questões como essa, então eu esperava obter uma atualização de segurança dentro de um curto período de tempo (horas ou dias) apt-get update.

  2. Essa expectativa - que manter meus pacotes atualizados é suficiente para impedir que meu servidor tenha vulnerabilidades conhecidas - geralmente está errada?

  3. Se sim: O que devo fazer para mantê-lo seguro? Ler os avisos de segurança do Ubuntu não teria ajudado nesse caso, pois a vulnerabilidade nginx nunca foi postada lá.

Jo Liss
fonte
4
Fiz +1 por ter uma questão concreta a ser citada.
precisa saber é o seguinte

Respostas:

39

Atualmente, o Ubuntu está dividido em quatro componentes: principal, restrito, universo e multiverso. Os pacotes principal e restrito são suportados pela equipe de segurança do Ubuntu durante toda a vida do lançamento do Ubuntu, enquanto os pacotes no universo e no multiverso são suportados pela comunidade Ubuntu. Vejo as Perguntas frequentes da equipe de segurança para obter mais informações.

Como o nginx está no componente Universe, ele não recebe atualizações da equipe de segurança. Cabe à comunidade corrigir problemas de segurança nesse pacote. Vejo aqui o procedimento exato .

Você pode usar o Software Center ou a ubuntu-support-statusferramenta de linha de comando para determinar quais pacotes são oficialmente suportados e por quanto tempo.


Atualização do futuro : Nginx está se movendo para tão principal vai receber apoio da equipe Ubuntu Segurança naquele ponto. Se você não tiver certeza se sua versão será, basta olhar apt-cache show nginxe procurar a tag "Seção". Quando está em Main, você recebe suporte da Canonical para isso.

mdeslaur
fonte
Note-se que ubuntu-apoio-status é buggy, então você não pode ter grande sorte com ele: bugs.launchpad.net/ubuntu/+source/update-manager/+bug/849532
Ben McCann
14

O pacote nginx no ppa para precisão é em Version 1.1.17-2 uploaded on 2012-03-19.

Se você precisar de patches para CVEs que ainda são candidatos e não são aceitos, considere adicionar ppas .

Neste pacote e bug em particular, aqui estão algumas notas do rastreador de erros do pacote .

RobotHumans
fonte
4

Pacotes dentro do repositório 'principal' do Ubuntu são ativamente atualizados pela Canonical. (Para fazer parte da instalação padrão, um pacote deve estar dentro de main.)

No entanto, para pacotes como o nginx, que estão no "universo", eu não esperaria atualizações de segurança oportunas. Isso ocorre porque esses pacotes são mantidos por voluntários, e não pela Canonical. Não seria razoável esperar que a Canonical monitore constantemente as dezenas de milhares de pacotes que existem no universo.

8128
fonte
1

Para pacotes que estão em distribuições baseadas no Debian, como o Ubuntu, os patches de segurança são portados para a versão atual. As versões de lançamento não são atualizadas, pois podem apresentar recursos incompatíveis. Em vez disso, a equipe de segurança (ou mantenedor do pacote) aplicará o patch de segurança à versão atual e lançará uma versão corrigida.

  1. A versão atualmente implantada pode estar vulnerável, pois não é suportada pela equipe de segurança do Ubuntu. Isso não significa que ele é vulnerável, pois o mantenedor do pacote pode corrigi-lo. Verifique changelogno /usr/share/doc/nginxdiretório para ver se o patch de segurança foi portado. Caso contrário, o patch pode estar em andamento e disponível na versão de teste.

  2. Você está certo ao supor que manter o servidor atualizado reduzirá significativamente o período em que você está executando um software inseguro. Existem pacotes que podem ser configurados para baixar automaticamente e atualizações de instalação opcionais. Eles também podem notificar quais correções foram instaladas ou estão prontas para instalação.

  3. Para pacotes que não são suportados pela equipe de Segurança, preste atenção a quaisquer problemas de segurança pendentes. Avalie o risco, pois nem todas as vulnerabilidades são exploráveis ​​em todos os sistemas. Alguns podem depender da configuração ou exigir acesso local. Outros podem não ser tão significativos sem outros problemas, por exemplo, explorar uma condição de corrida para substituir um arquivo de pontuações mais altas dos jogos.

BillThor
fonte