我订阅了 ubuntu-security-announce 列表,我收到一些电子邮件,其中提到 21.04 有一些错误,例如
[USN-4929-1] 绑定漏洞 [USN-4913-2] 下划线漏洞
但是,自从我将系统从 20.10 升级到 21.04(4 天前)后,我从未收到任何更新,而我使用软件更新程序和包更新程序时,却根本没有收到任何更新
你能帮帮我吗?也许我的系统有问题。
答案1
首先,并非所有 USN 都会影响你的环境。就像 Microsoft Office 中的漏洞只会影响安装了该版本 Microsoft Office 的用户一样,它不会影响系统上未安装 Microsoft Office 的用户。(是的,这是一个 Windows 示例,但观点仍然成立)。
因此,你仅在操作系统中有可用修复程序时才会获取安全修复更新这并不意味着你看到的每一个 USN 都会影响到你。常见的升级后几天内看不到更新,因为您安装的软件包尚未发布任何更新。给它一些时间,您将开始定期获得软件包更新。仅仅因为您没有看到更新并不意味着您“不安全” - 它只是意味着您没有运行任何收到安全补丁的东西,这完全没问题。
在此期间,让我们看看您所指的 USN 以及它们的适用范围。
USN-4929-1- BIND 漏洞
ISC 首次发布漏洞:2021 年 4 月 28 日。 Ubuntu 安全团队首次修补:2021 年 4 月 29 日
bind9这解决了软件(即 DNS 服务器软件)中的漏洞。
如果您没有使用 BIND9 在您的环境中运行 DNS 服务器,则不会受到此影响。这就是为什么它不会显示在您的更新列表中。大多数人不会在自己的个人系统上运行 BIND9,而是或多或少在企业界的服务器环境中运行,因此这可能不会影响您。
USN-4913-1和-2: 下划线漏洞
Ubuntu 安全团队首次修补:2021 年 4 月 28 日
这专门解决了包和源包中的漏洞underscore——“Javascript 的函数式编程辅助库”
如果您没有安装它,您将无法获得它的更新。
您可以使用 来验证您是否有更新dpkg -s libjs-underscore nodejs-underscore。如果您已安装它们并且版本至少为,1.9.1-dfsg-1ubuntu0.21.04.1那么您就可以开始了,您不必担心任何事情。但是,如果您没有安装这些,则不会受到影响。
答案2
查阅官方资料
您提到的漏洞的公告页面为ubuntu.com显示要做什么:
通过将系统更新到以下软件包版本可以解决此问题:
libjs-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1 node-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1一般来说,标准系统更新将做出所有必要的更改。
按照官方消息去做
通常,请执行标准系统更新。之后,您可以检查本地实际安装了哪个版本的有问题的软件包,例如使用
dpkg -s libjs-underscore | grep Version
注意事项
这在一般情况下是成立的,但是总会有例外和个别情况。因此,根据您所需的信任级别,您可能需要调查进一步的可能性和影响。例如,漏洞可能已在您的系统上被利用,并且恶意软件通过各种方式隐藏自身,例如操纵输出Version。你永远无法 100% 确定但最佳做法是观察和估计:
- 此漏洞在我的系统上实现的风险有多大?您是否使用过受影响的系统?
- 您将如何衡量感染情况?这将花费多少钱?
- 与其他措施(例如,用可信系统完全替换系统)相比,成本如何?
- ETC。