如何判断在Ubuntu的存储库中是否修复了CVE？

您正在寻找的是Ubuntu安全通知，它们没有清楚地列在存储库中。 此页面是主要的Ubuntu安全通知列表。

对于单个软件包，解决安全修复程序的更新位于其自己的特殊存储库 – 安全漏洞中。 使用Synaptic，您可以切换到“Origin”视图，并查看RELEASE-security pocket中的包。

所有CVE也列在Ubuntu安全团队的CVE跟踪器中 – 在此处特别引用了CVE。 对于您在此处引用的CVE-2014-9295，尚未修复。

一旦更新可用，它将被sudo apt-get update; sudo apt-get upgrade检测到sudo apt-get update; sudo apt-get upgrade sudo apt-get update; sudo apt-get upgrade一旦在安全库中发布。

虽然接受的答案是正确的，但我经常发现我能够通过查看软件包的更改日志来查找此信息，这比搜索CVE跟踪器或安全通知列表更容易。 例如：

 sudo apt-get update apt-get changelog ntp 

上述命令的输出包括：

 ... ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium * SECURITY UPDATE: weak default key in config_auth() - debian/patches/CVE-2014-9293.patch: use openssl for random key in ntpd/ntp_config.c, ntpd/ntpd.c. - CVE-2014-9293 * SECURITY UPDATE: non-cryptographic random number generator with weak seed used by ntp-keygen to generate symmetric keys - debian/patches/CVE-2014-9294.patch: use openssl for random key in include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c. - CVE-2014-9294 * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure() - debian/patches/CVE-2014-9295.patch: check lengths in ntpd/ntp_control.c, ntpd/ntp_crypto.c. - CVE-2014-9295 * SECURITY UPDATE: missing return on error in receive() - debian/patches/CVE-2015-9296.patch: add missing return in ntpd/ntp_proto.c. - CVE-2014-9296 -- Marc Deslauriers  Sat, 20 Dec 2014 05:47:10 -0500 ... 

这清楚地表明您提到的错误已在ubuntu存储库中修复。 然后你可以运行：

 sudo apt-get upgrade 

拉下修复。

我想你在谈论检查包的更新日志？ 要了解什么是新的，主要的大修复等？ Synaptic有一种简单的方法来尝试和下载更改日志。

或者，如果更改日志不可用或过于简短，最好的方法可能是注意可用的版本，然后访问开发人员网站并查看更详细的更改。

如果您运行这些命令，您将获得存储库中的任何修复程序 – 但那些可能不是。 如果您启用了更新通知程序（托盘窗口小部件），则只要有系统或安全更新，您就会收到通知（并且将注明安全更新）。 然后你会在Ubuntu出来后尽快得到补丁，而不必为它们施加压力。