要自动安装安全更新我使用unattended-upgrade
:
$ sudo unattended-upgrade -d | tail -1
No packages found that can be upgraded unattended and no pending auto-removals
我也试过另一个工具叫做debsecan
(主页(目前在官方存储库中)列出所有存在漏洞的软件包CVE 数据库在最近更新的 Ubuntu 18.04 LTS 上,它在 220 个软件包中返回了 967 个“可远程利用、高紧急性”漏洞(总数增加了 7 倍):
$ debsecan | grep "remotely exploitable, high urgency" | wc -l
967
$ debsecan | grep "remotely exploitable, high urgency" | col2 | uniq | wc -l
220
$ debsecan | grep -o "CVE-20[0-2][0-9]" | sort | uniq -c
3 CVE-2007
2 CVE-2008
8 CVE-2009
3 CVE-2012
14 CVE-2013
9 CVE-2014
42 CVE-2015
173 CVE-2016
948 CVE-2017
3616 CVE-2018
4158 CVE-2019
3540 CVE-2020
1 CVE-2021
- 我是否遗漏了什么?
- 有任何工具可以检查漏洞吗?Ubuntu 上的 debsecan,例如 Red Hat 的开放的SCAP(现已推出!见下文)。除了 OpenVAS 或 Nessus 之外还有其他的吗?
更新
2019:Ubuntu 安全团队某人的回答:
在 Ubuntu 中,景观是检查安全更新状态的首选解决方案。
我们当然希望有人能贡献出让 debsecan 正常工作所需的修改。这是有关 debsecan 的 bug。
似乎
debsecan
读取这个文件:curl -s https://security-tracker.debian.org/tracker/debsecan/release/1/GENERIC | zlib-flate -uncompress | less
据我所知(请纠正我)因为没有 API对于 Ubuntu 安全公告 (USN),来自CVE 跟踪页面或者美国海军(
或者可能更容易这里,bazaar.launchpad.net 上的所有内容似乎已被删除)应该合并 [转换为 JSON 并] 那里。2020-05: UST2DSA
我们刚刚完成了一个工具,用于从 Ubuntu CVE Tracker 数据中构建 debsecan 合适的数据库。
它是 Apache 2.0 下的开源软件,可在此处获取:https://github.com/BBVA/ust2dsa
使用 Github 的 CI,我们每 6 小时重建一次数据库,以使其包含最新的漏洞信息。
如果有人想测试结果,只需在当前的 Ubuntu 安装中运行此命令:
debsecan --suite $(lsb_release --codename --short) --source https://raw.githubusercontent.com/BBVA/ust2dsa/data/
2021-11:Ubuntu 的 OVAL 数据使用开放的SCAP
sudo apt install libopenscap8 # Install OpenSCAP base wget https://security-metadata.canonical.com/oval/com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2 bunzip2 com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2 oscap oval eval --report report.html com.ubuntu.$(lsb_release -cs).usn.oval.xml xdg-open report.html
答案1
太长不看:debsecan
需要修复才能使用 Ubuntu 的安全跟踪器,这样它才能在 Ubuntu 上发挥作用。
该debsecan
脚本仅检查 Debian 安全跟踪器,并且选项中仅支持 Debian 版本--suite
。由于修补后的 Ubuntu 软件包版本未显示在 Debian 的跟踪器中,因此我们得到如下结果:
$ debsecan | grep "remotely exploitable, high urgency" | head
CVE-2017-14632 libvorbisfile3 (remotely exploitable, high urgency)
CVE-2016-2776 bind9-host (remotely exploitable, high urgency)
CVE-2017-14930 binutils-dev (remotely exploitable, high urgency)
CVE-2017-8421 binutils-dev (remotely exploitable, high urgency)
CVE-2018-8784 libwinpr-interlocked0.1 (remotely exploitable, high urgency)
...
我使用的是 16.04,其中有以下 CVE:
- CVE-2017-14632已于 16.04 中修复
- CVE-2016-2776已于 16.04 中修复
- CVE-2017-14930需要在 16.04 中进行分类,并且较新的版本标记为不受影响。
- CVE-2017-8421需要分类
- 和CVE-2018-8784在 16.04 中不存在。
因此,在我查看的前五个漏洞中,有三个已修复或对我无影响,一个已采取一些措施,只有一个尚未采取任何措施。接下来的五个漏洞(CVE-2018-8785 至 2018-8789)均已修复或不影响 16.04。