无人值守升级和 debsecan 不一致

无人值守升级和 debsecan 不一致

要自动安装安全更新我使用unattended-upgrade

$ sudo unattended-upgrade -d | tail -1
No packages found that can be upgraded unattended and no pending auto-removals

我也试过另一个工具叫做debsecan主页(目前在官方存储库中)列出所有存在漏洞的软件包CVE 数据库在最近更新的 Ubuntu 18.04 LTS 上,它在 220 个软件包中返回了 967 个“可远程利用、高紧急性”漏洞(总数增加了 7 倍):

$ debsecan | grep "remotely exploitable, high urgency" | wc -l
967
$ debsecan | grep "remotely exploitable, high urgency" | col2 | uniq | wc -l
220
$ debsecan | grep -o "CVE-20[0-2][0-9]" | sort | uniq -c
    3 CVE-2007
    2 CVE-2008
    8 CVE-2009
    3 CVE-2012
   14 CVE-2013
    9 CVE-2014
   42 CVE-2015
  173 CVE-2016
  948 CVE-2017
 3616 CVE-2018
 4158 CVE-2019
 3540 CVE-2020
    1 CVE-2021
  1. 我是否遗漏了什么?
  2. 有任何工具可以检查漏洞吗?Ubuntu 上的 debsecan,例如 Red Hat 的开放的SCAP(现已推出!见下文)。除了 OpenVAS 或 Nessus 之外还有其他的吗?

更新

  • 2019:Ubuntu 安全团队某人的回答:

    在 Ubuntu 中,景观是检查安全更新状态的首选解决方案。

    我们当然希望有人能贡献出让 debsecan 正常工作所需的修改。这是有关 debsecan 的 bug。

    应该调整 debsecan(针对 ubuntu)或删除

  • 似乎 debsecan读取这个文件:

    curl -s https://security-tracker.debian.org/tracker/debsecan/release/1/GENERIC | zlib-flate -uncompress | less
    

    据我所知(请纠正我)因为没有 API对于 Ubuntu 安全公告 (USN),来自CVE 跟踪页面或者美国海军或者可能更容易这里,bazaar.launchpad.net 上的所有内容似乎已被删除)应该合并 [转换为 JSON 并] 那里。

  • 2020-05: UST2DSA

    我们刚刚完成了一个工具,用于从 Ubuntu CVE Tracker 数据中构建 debsecan 合适的数据库。
    它是 Apache 2.0 下的开源软件,可在此处获取:https://github.com/BBVA/ust2dsa
    使用 Github 的 CI,我们每 6 小时重建一次数据库,以使其包含最新的漏洞信息。
    如果有人想测试结果,只需在当前的 Ubuntu 安装中运行此命令:
    debsecan --suite $(lsb_release --codename --short) --source https://raw.githubusercontent.com/BBVA/ust2dsa/data/

  • 2021-11Ubuntu 的 OVAL 数据使用开放的SCAP

    sudo apt install libopenscap8  # Install OpenSCAP base
    
    wget https://security-metadata.canonical.com/oval/com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
    bunzip2 com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
    oscap oval eval --report report.html com.ubuntu.$(lsb_release -cs).usn.oval.xml
    xdg-open report.html
    

答案1

太长不看debsecan需要修复才能使用 Ubuntu 的安全跟踪器,这样它才能在 Ubuntu 上发挥作用。


debsecan脚本仅检查 Debian 安全跟踪器,并且选项中仅支持 Debian 版本--suite。由于修补后的 Ubuntu 软件包版本未显示在 Debian 的跟踪器中,因此我们得到如下结果:

$  debsecan | grep "remotely exploitable, high urgency" | head
CVE-2017-14632 libvorbisfile3 (remotely exploitable, high urgency)
CVE-2016-2776 bind9-host (remotely exploitable, high urgency)
CVE-2017-14930 binutils-dev (remotely exploitable, high urgency)
CVE-2017-8421 binutils-dev (remotely exploitable, high urgency)
CVE-2018-8784 libwinpr-interlocked0.1 (remotely exploitable, high urgency)
...

我使用的是 16.04,其中有以下 CVE:

因此,在我查看的前五个漏洞中,有三个已修复或对我无影响,一个已采取一些措施,只有一个尚未采取任何措施。接下来的五个漏洞(CVE-2018-8785 至 2018-8789)均已修复或不影响 16.04。

相关内容