我是一个注重安全的人,通常我想确保我在操作系统中使用的大多数软件包都是安全的。
现在,假设我的系统中安装了一个名为“sunshine”的软件包(当然是通过 apt),并且有一个易受攻击的版本8.70,ubuntu 安全公告告诉我9.10这是最后一个易受攻击的版本,但是在我这样做之后apt-get install --only-upgrade,我仍然有一个易受攻击的版本号的“sunshine”(如下9.10)。
这很不安全,对吧?我发现这个邮政上面说,Ubuntu 正式发布后,系统存储库中不再更新新版本的软件。不过,那篇帖子已经过时了,现在还是这样吗?
答案1
正如您已经读到的,软件包在发布后将处于冻结状态,但是您仍然可以以错误修复和安全补丁的形式获得该软件包的更新,这意味着 Ubuntu 团队将修补该软件包的问题而无需将其升级到最后一个版本,您可以使用:
apt changelog pkg-name
查看上次更新中做了什么,例如这里是 samba 的更改日志:
samba (2:4.3.11+dfsg-0ubuntu0.16.04.9) xenial-security; urgency=medium
* SECURITY UPDATE: KDC-REP service name impersonation
- debian/patches/CVE-2017-11103.patch: use encrypted service
name rather than unencrypted (and therefore spoofable) version
in heimdal
- CVE-2017-11103
如果您仔细检查日志,您会发现它们是相同的版本,但是正在做很多事情,请注意安全更新和 CVE 行。