我是否应该担心 Paladin Shield 声称升级的 Ubuntu LTS 服务器存在严重漏洞?

tag-icon tag-icon server 20.04 apache2 security
我是否应该担心 Paladin Shield 声称升级的 Ubuntu LTS 服务器存在严重漏洞?

如果您注册“免费” Paladin Shield 网络安全服务,网络保险公司将提供大幅折扣,因此管理层严重依赖他们报告的漏洞。

我的许多客户端都使用当前支持的 LTS Ubuntu 服务器(即 20.04 LTS 和 22.04 LTS)。它们会定期更新和升级,目前显示“可应用 0 个更新”。与此同时,Paladin Shield 报告相同的服务器存在需要采取纠正措施的漏洞:

10 critical vulnerabilities

CORRECTIVE ACTION
Urgently apply software updates

NOTES
CVE-2022-22720 Severity: 9.8
CVE-2022-31813 Severity: 9.8
CVE-2022-23943 Severity: 9.8
CVE-2021-44790 Severity: 9.8
CVE-2021-26691 Severity: 9.8
CVE-2021-39275 Severity: 9.8
CVE-2020-11984 Severity: 9.8
CVE-2022-22721 Severity: 9.1
CVE-2022-28615 Severity: 9.1
CVE-2021-40438 Severity: 9

ISSUE
13 high vulnerabilities

CORRECTIVE ACTION
Apply software updates

NOTES
CVE-2021-44224 Severity: 8.2
CVE-2021-34798 Severity: 7.5
CVE-2022-29404 Severity: 7.5
CVE-2020-11993 Severity: 7.5
CVE-2022-22719 Severity: 7.5
CVE-2020-9490 Severity: 7.5
CVE-2021-26690 Severity: 7.5
CVE-2022-26377 Severity: 7.5
CVE-2022-30556 Severity: 7.5
CVE-2021-33193 Severity: 7.5
CVE-2021-36160 Severity: 7.5
CVE-2020-13950 Severity: 7.5
CVE-2020-35452 Severity: 7.3

ISSUE
6 medium vulnerabilities

CORRECTIVE ACTION
Review findings

NOTES
CVE-2020-1927 Severity: 6.1
CVE-2020-13938 Severity: 5.5
CVE-2020-1934 Severity: 5.3
CVE-2022-28330 Severity: 5.3
CVE-2019-17567 Severity: 5.3
CVE-2022-28614 Severity: 5.3

以下是 22.04 版的 Apache 版本:

dpkg -s apache2 | grep Version
Version: 2.4.52-1ubuntu4.2

是 Ubuntu LTS 没有保持最新状态还是 Paladin Shield 在虚张声势?

我意识到 Paladin Shield 被描述为“蛇油”(1)。任何有关在这种情况下网络安全最佳实践的建议都将不胜感激。

(1)https://www.zdnet.com/article/paladin-security-app-snake-oil-security-experts-say/

答案1

Ubuntu 安全团队维护着CVE 追踪所以你可以自己检查这些结果是否准确。

我们从您的列表中随机挑选一个 CVE:CVE-2022-26377

CVE 跟踪器引导我们找到以下内容:

在此处输入图片描述

这是软件包名称。哦,看,那个 CVE 已经修复了很长时间。这是每个受支持的 Ubuntu 版本的软件包版本。

只需询问 apt 您安装了哪个版本:apt list <packagename>

  • 如果您的版本号等于或高于修补版本,那么您已经很安全了。在运行良好、维护良好的系统上,这是通常的状态。CVE 补丁会自动安装。这就是人们选择 Ubuntu 的原因之一。
  • 如果您的版本号低于修补版本,那么您确实有需要修复的问题。一旦您修复了底层问题,安全更新将自动进行。

答案2

Paladin 是骗人的把戏。就您而言,扫描程序出错的原因是它只查看 Apache 版本号的主要部分(2.4.52),并将其与上游修复漏洞的 Apache 版本进行比较(有所不同;例如,CVE-2022-23943 的版本为 2.4.53)。它完全忽略了发行版的补丁后缀(您使用的是 -1ubuntu4.2,而 CVE-2022-23943 首次修复时使用的是 -1ubuntu2)。此外,它还谎报了漏洞的严重性。以 CVE-2022-23943 为例,Paladin 声称它很严重,但 Apache 维护者和 Ubuntu 安全团队都不同意。

相关内容