Ubuntu一般会及时发布安全更新吗?
具体问题: Oneiric nginx软件包的版本为1.0.5-1,根据更新日志于2011年7月发布。
最近的内存泄露漏洞( 咨询页面 , CVE-2012-1180 , DSA-2434-1 )在1.0.5-1中未得到修复。 如果我没有误读Ubuntu CVE页面,那么所有Ubuntu版本似乎都会出现易受攻击的nginx。
-
这是真的?
如果是这样的话:我认为Canonical有一个安全团队正积极处理这类问题,因此我希望通过
apt-get update在短时间内(数小时或数天)apt-get update。 -
这种期望 – 保持我的包最新是足以阻止我的服务器有已知的漏洞 – 通常是错误的?
-
如果是这样的话:我该怎么做才能保证它的安全? 在这种情况下阅读Ubuntu安全通知不会有帮助,因为nginx漏洞从未在那里发布过。
Ubuntu目前分为四个部分:main,restricted,universe和multiverse。 Ubuntu安全团队在Ubuntu版本的生命周期内支持main和restricted的软件包,而Universe和多元软件包中的软件包由Ubuntu社区支持。 有关更多信息,请参阅安全团队FAQ 。
由于nginx位于Universe组件中,因此它不会从安全团队获取更新。 由社区来解决该软件包中的安全问题。 请参阅此处了解具体步骤 。
您可以使用Software Center或ubuntu-support-status命令行工具来确定哪些软件包是官方支持的,以及确定支持的时间长度。
从未来更新 :Nginx正在转向main,因此将获得Ubuntu安全团队的支持。 如果您不确定您的版本是否可用,只需查看apt-cache show nginx并查找“Section”标记。 当它在Main中时,你将获得Canonical支持。
ppa中用于精确的nginx包是在Version 1.1.17-2 uploaded on 2012-03-19 。
如果您需要仍处于候选且未被接受的CVE补丁,您可以考虑添加ppas 。
在这个特定的包和错误这里是包bug跟踪器的一些注释。
由Canonical积极地保持Ubuntu“main”存储库中的包。 (要成为默认安装的一部分,包必须在main中。)
但是,对于诸如nginx之类的软件包,它们位于“Universe”中,那么我不会期望及时的安全更新。 这是因为这些包由志愿者而不是Canonical维护。 期望Canonical不断监视宇宙中存在的数万个包是不合理的。
对于基于Debian的发行版(如Ubuntu)上的软件包,安全补丁会反向移植到当前版本中。 发布版本未更新,因为这可能会引入不兼容的function。 相反,安全团队(或软件包维护者)会将安全补丁应用于当前版本和修补版本。
-
当前部署的版本可能容易受到攻击,因为Ubuntu Security团队不支持该版本。 这并不意味着它很脆弱,因为软件包维护者可能已修补它。 检查
/usr/share/doc/nginx目录中的changelog以查看是否已向后移植安全修补程序。 如果不是,补丁可能正在进行中并且在测试版本中可用。 -
假设保持服务器最新将大大减少运行不安全软件的时间,这是正确的。 有些软件包可以配置为自动下载和可选的安装更新。 这些还可以通知已安装的补丁或已准备好安装。
-
对于安全团队不支持的软件包,您可能需要注意任何未解决的安全问题。 评估风险,因为并非所有漏洞都可在所有系统上利用。 有些可能依赖于配置或需要本地访问。 如果没有其他问题,其他问题可能不那么重要,例如利用竞争条件来替换游戏高分文件。