我的网络安全同事要求我调查此 CVE 对我们环境的威胁,但我很难弄清楚。当我查看该 CVE 的 CVE 跟踪器时: https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5696.html
它列出了软件包版本以及发布版本。这让我很困惑。这似乎暗示您可以在 Precise OS 上运行 Trusty 源?
但这不是重点。我们的环境主要是 Precise 服务器,还有少量 Trusty 服务器,我需要知道这个漏洞是否适用于我。是否有命令可以运行来确定我是否正在使用列出的这些软件包之一。跟踪器中实际指定的软件包名称(如“linux-lts-trusty”)不是 apt-get 软件包,因此“apt-cache show”没有帮助。
答案1
首先,它所引用的包指的linux-lts-trusty是内核映像。它们在存储库中的名称不同。如果你这样做,你会发现像或 这样的apt-cache search linux-.* | grep 'trusty'包。此外,如果你打开启动板链接、git.kernel.org 链接和 CVE 报告中的其他链接,你会发现所有这些都表明这是一个 Linux 内核漏洞。linux-image-virtual-lts-trustylinux-image-virtual-lts-wily
因此,对于linux-lts-trusty,在我撰写本文时 Launchpad 的最新版本是3.13.0-93.140-precise1列出仅需要针对 Ubuntu 12.04 修复,对于其他版本 bug DNE(不存在):
对于linux-lts-wily,即版本4.2.0-42.49-14.04.1,只有 trusty (14.04) 处于危险之中。
所以这实际上取决于你运行的内核版本。当然,最好的方法是将你的服务器升级到最新版本 16.04 LTS ,并安装更新的内核版本。你没有向我们提供你的内核版本,所以我们不知道你是否面临这种风险。
它列出了软件包版本以及发布版本。这让我很困惑。这似乎暗示您可以在 Precise OS 上运行 Trusty 源?
从技术上讲,您可以在较新的操作系统版本上运行较旧的内核,反之亦然,所以是的,这是正确的。
笔记:
Wily Werewolf (15.10) 已达到生命周期结束,不再受支持。如果您正在运行此版本,我强烈建议您升级。
linux-lts-saucy内核版本似乎没有这个漏洞。这是版本3.11.0-26.45-precise1。我建议使用任何 3.11.x 版本,但这仍然不理想;最好使用较新的版本。跟踪
linux此 CVE 的给定版本的跟踪器将跟踪基础内核在该版本中发布。跟踪linux-lts-*此 CVE 的跟踪器将跟踪 HWE 内核,该内核仅在获得 HWE 更新的 LTS 版本中可用。在它们全部“发布”或“修复”之前,对于所有源包和跟踪器上的所有相关发行版,您将无法“避免” CVE。
答案2
请注意https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5696.html没有明确说明 Xenial (16.04LTS) 使用哪个内核。根据 xenial-updates,目前是 4.4.0.34.36,存在 CVE-2016-5696 漏洞。
https://people.canonical.com/~ubuntu-security/cve/pkg/linux.html也显示了这一点。
答案3
截至今日(2016 年 8 月 16 日)全部除 Ubuntu Touch 15.04 之外的 Ubuntu 当前版本均存在漏洞:
Ubuntu 的相关信息在这里,他们计划在 8 月 27 日发布修补后的内核: https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5696.html
正如我在上文对 Serg 的回答的评论中所解释的那样,需要查看的重要软件包是“linux”,它是每个版本中内核的源软件包。其他软件包大多是 LTS Enablement 内核或其他专用内核,所有这些都特定于特定版本。
例如,linux-lts-quantal 在除 12.04(无论如何都已停产)之外的所有版本中均被列为“DNE”。然而,这并不意味着这些版本不受此问题影响,之所以有“DNE”,是因为软件包 linux-lts-quantal 仅适用于 12.04,不适用于任何其他版本。