înregistrare Logare
Puncte:0
avatar Server

Cum pot descoperi în mod fiabil CVE-urile legate de pachetele instalate

drapel kw
griswoldbar

Am o aplicație web care rulează pe Ubuntu Server 18. Una dintre dependențele sale este Ghostscript. Cea mai recentă versiune pe care o pot instala prin apt-get este 9.26, dar am aflat că această versiune are o problemă de securitate.

Ceea ce caut este o modalitate de a detecta automat când un CVE este ridicat împotriva unui pachet. M-am gândit că pot verifica pur și simplu depozitul apt-get, dar tot ce poate face este să-mi spună dacă are o versiune mai nouă, nu dacă există o problemă cu cea mai recentă pe care o are.

Există vreo modalitate de a descoperi dacă o versiune a unui pachet are vulnerabilități din linia de comandă? adică o comandă sau un API public sau un fișier în jurul căruia pot construi un script?

74
0 + 0
apt
cve
Puncte:2
avatar Server
drapel cn
Bob

Cea mai recentă versiune pe care o pot instala prin apt-get este 9.26, dar am aflat că această versiune are o problemă de securitate.

Acesta este atât adevărat, cât și probabil nu chiar relevant.

Aproape toate distribuțiile majore de Linux susțin actualizările de securitate ale porturilor. Ei motivează backporting și procesul este destul de bine descris RedHat.com dar este similar pentru Ubuntu. (Vă rugăm să citiți întregul articol.) Pe scurt, un număr de versiune mai veche raportat de software-ul în sine nu înseamnă deloc nesigur.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ghostscript Și https://www.ghostscript.com/doc/9.55.0/News.htm

Ambele arată o serie întreagă de probleme care sunt rezolvate în cea mai recentă versiune Ghostscript.

Trebuie să actualizați la Ghostscript 9.55 pentru a remedia toate acestea?

Nu.

https://ubuntu.com/security/notices/USN-4686-1 arată că multe vulnerabilități au fost portate înapoi și Ubuntu 18 nu este deloc vulnerabil la cel mai recent CVE, conform

https://ubuntu.com/security/cves?package=ghostscript

În general, aplicarea regulată a actualizărilor de securitate (atâta timp cât distribuția dvs. este acceptată) vă va menține în siguranță.

0 + 0
drapel kw
griswoldbar
Chiar dacă nu era exact ceea ce întrebam, marchez acest răspuns drept răspunsul corect, deoarece mi-a rezolvat problema și m-a făcut să realizez că am pus întrebarea greșită :)
0
Răspunde
Puncte:1
avatar Server
drapel jp
AlexD

Ai nevoie debsecan.

debsecan analizează lista pachetelor instalate pe gazda curentă și raportează vulnerabilitățile găsite în sistem.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.