Ubuntu publie-t-il généralement des mises à jour de sécurité en temps opportun?

33

Problème concret: Le package nirx Oneiric est à la version 1.0.5-1, publié en juillet 2011 dans le journal des changements .

La récente vulnérabilité de divulgation de mémoire ( page de conseil , CVE-2012-1180 , DSA-2434-1 ) n'est pas corrigé dans la version 1.0.5-1. Si je ne lis pas la page CVE d'Ubuntu, toutes les versions d'Ubuntu semblent expédier un nginx vulnérable.

  1. Est-ce vrai?

    Si oui: je pensais qu’une équipe de sécurité de Canonical travaillait activement sur des problèmes comme celui-ci, alors je m'attendais à une mise à jour de sécurité dans un délai court (heures ou jours) via apt-get update .

  2. Est-ce que cette attente - que maintenir mes paquets à jour est suffisante pour empêcher mon serveur d’avoir des vulnérabilités connues - généralement erronées?

  3. Si oui: que dois-je faire pour le garder en sécurité? La lecture des notes de sécurité Ubuntu n’aurait pas été utile dans ce cas, car la vulnérabilité nginx n’a jamais été publiée là-bas.

posée Jo Liss 05.04.2012 - 19:35
la source

4 réponses

40

Ubuntu est actuellement divisé en quatre composants: principal, restreint, univers et multivers. Les packages en principal et restreint sont pris en charge par l'équipe de sécurité Ubuntu pour la durée de vie d'une version Ubuntu, tandis que les packages dans universe et multivers sont pris en charge par la communauté Ubuntu. Consultez la FAQ sur l'équipe de sécurité pour plus d'informations.

Comme nginx est dans le composant Univers, il ne reçoit pas de mises à jour de la part de l’équipe de sécurité. Il appartient à la communauté de résoudre les problèmes de sécurité de ce package. Voir ici pour la procédure exacte .

Vous pouvez utiliser Software Center ou l'outil de ligne de commande ubuntu-support-status pour déterminer quels packages sont officiellement pris en charge et pour combien de temps.

Mise à jour du futur : Nginx passe au principal afin que reçoive le support de l'équipe de sécurité Ubuntu à ce stade. Si vous ne savez pas si votre version fonctionnera, regardez simplement apt-cache show nginx et recherchez la balise "Section". Quand cela est dans Main, vous obtenez un support Canonical pour cela.

    
réponse donnée mdeslaur 05.04.2012 - 20:22
la source
14

Le paquet nginx dans ppa pour precise est à Version 1.1.17-2 uploaded on 2012-03-19 .

Si vous avez besoin de correctifs pour les CVE encore en candidature et non acceptés, vous pouvez envisager d’ajouter ppas .

Sur ce paquet particulier et un bogue, voici quelques notes de le programme de suivi des bogues .

    
réponse donnée RobotHumans 05.04.2012 - 19:46
la source
4

Les paquets contenus dans le dépôt Ubuntu 'main' sont activement mis à jour par Canonical. (Pour faire partie de l’installation par défaut, un package doit être à l’intérieur de main.)

Cependant, pour les paquets tels que nginx, qui se trouvent dans "l'univers", je ne m'attendrais pas à des mises à jour de sécurité ponctuelles. Cela est dû au fait que ces paquets sont gérés par des volontaires plutôt que par Canonical. Il ne serait pas raisonnable de s’attendre à ce que Canonical surveille en permanence les dizaines de milliers de paquets existant dans l’univers.

    
réponse donnée 8128 05.04.2012 - 20:23
la source
1

Pour les paquets qui sont sur des distributions basées sur Debian telles que Ubuntu, les correctifs de sécurité sont transférés dans la version actuelle. Les versions de version ne sont pas mises à jour car cela peut introduire des fonctionnalités incompatibles. Au lieu de cela, l'équipe de sécurité (ou le responsable du package) appliquera le correctif de sécurité à la version actuelle dans une version avec correctifs.

  1. La version actuellement déployée peut être vulnérable car elle n’est pas prise en charge par l’équipe Ubuntu Security. Cela ne signifie pas qu'il est vulnérable car le responsable du paquet a peut-être corrigé le problème. Vérifiez le changelog dans le répertoire /usr/share/doc/nginx pour voir si le correctif de sécurité a été sauvegardé. Si ce n'est pas le cas, le correctif peut être en cours et disponible dans la version test.

  2. Vous avez raison de penser que la mise à jour de votre serveur réduira considérablement la durée d'exécution des logiciels non sécurisés. Il existe des packages qui peuvent être configurés pour télécharger automatiquement et des mises à jour d'installation facultatives. Celles-ci peuvent également notifier les correctifs installés ou prêts à être installés.

  3. Pour les packages qui ne sont pas pris en charge par l'équipe de sécurité, vous pouvez être attentif aux problèmes de sécurité en suspens. Evaluez le risque car toutes les vulnérabilités ne sont pas exploitables sur tous les systèmes. Certains peuvent être dépendants de la configuration ou nécessiter un accès local. D'autres peuvent ne pas être si importants sans d'autres problèmes, par exemple en exploitant une condition de course pour remplacer un fichier de scores élevés de jeux.

réponse donnée BillThor 06.04.2012 - 02:13
la source

Lire d'autres questions sur les étiquettes