好的,所以我了解 Ubuntu 如何发布软件包等等,但我需要可靠地安装安全更新,而无需在浩瀚的互联网上搜索下载和编译。有谁知道一个好的 PPA,我可以将其添加到我的 sources.list 中,以安装修复已知漏洞的最新软件包?Debian 有 sid 存储库...它可以与 Trusty 14.04 一起使用吗?或者 Ubuntu 中有类似的东西吗?
感谢您的帮助。
答案1
...那么我该如何向我的安全审计员解释,“我知道它不是最新版本,但它不存在漏洞,因为第三方据称在维护版本中修复了该漏洞,而该维护版本的发布日期早于最初报告该漏洞的时间。”?
就解释而言,这差不多是对的。如果您或安全审计员不明白,我很抱歉,但这是大多数 Linux 发行版(Debian、*buntus、RHEL、CentOS)多年来的工作方式。我怀疑这种情况不会很快改变,所以,也许 Ubuntu 不适合您,您应该考虑 Arch Linux、Debian 不稳定版或其他操作系统。
附言:你可以使用以下命令检查 Ubuntu 中软件包中已修复的内容:
apt-get changelog pkgname
例如apt-get changelog openssh-server看起来像这样:
openssh(1:6.6p1-2ubuntu2.3)值得信赖的安全;紧急程度=中等
安全回归:由于未初始化的结构字段导致随机身份验证失败(LP:#1485719)
- debian/补丁/CVE-2015-5600-2.补丁:
-- Marc Deslauriers 2015 年 8 月 17 日星期一 21:52:52 -0 400
openssh(1:6.6p1-2ubuntu2.2)值得信赖的安全;紧急程度=中等
- 安全更新:可能通过 PAM 支持进行用户模仿
- debian/patches/pam-security-1.patch:不要在 monitor.c、monitor_wrap.c 中将用户名重新发送到 PAM。
- CVE 编号待定 * 安全更新:PAM 支持中的 use-after-free
- debian/patches/pam-security-2.patch:修复 monitor.c 中的释放后使用问题。
- CVE 编号待定
...
答案2
您在 sources.list 中的镜像可能没有及时更新。大多数漏洞都会在主服务器上得到修补,然后镜像需要更新。每个镜像都有自己的更新速度。您可以在以下位置订阅安全 RSS 源:http://www.ubuntu.com/usn/rss.xml查看最新更新并切换到主站点进行下载或等待您选择的镜像更新。