自从 Canonical 今年发布 Ubuntu Pro 以来,他们现在对许多常见软件包保留了一些安全补丁,其中包括 Laravel Forge 配置服务器上包含的一些补丁。
我使用 AWS Inspector 来监控我的 EC2 实例上的漏洞,突然出现了几个无法通过无人值守升级甚至手动安装进行修补的中等严重性漏洞。作为“ESM”服务的一部分,这些补丁仅限于 Ubuntu Pro 用户使用。这不仅适用于较旧的安装——我在 22.04.2 LTS 版本上发现了几个漏洞,我很快就接近了解决这些漏洞的 SLA,以满足我们的 SOC II 协议。在过去两年里,我一直使用 Forge + Ubuntu + AWS Inspector,这从来都不是问题。所有漏洞都可以通过无人值守升级或偶尔的 apt-get update/upgrade 加上服务器重启来修补。我不太确定最好的行动方案是什么——但可能许多企业 Forge 用户很快就会开始感受到这种影响。也许有另一个可以使用的 Unix 发行版,或者 Forge 可以与 Canonical 合作,以合理的成本配置“Pro”服务器?
现在还有其他人处理这个问题或对如何最好地处理这种情况有什么想法吗?
答案1
“过去两年里,这从来都不是问题“只是意味着你对 Universe 中的 CVE 视而不见。好吧,现在你可以看到它们了。
从 esm 安装软件包的唯一方法是订阅 Pro。如果这是 SLA 的要求,那么您显然有几种选择。
这些不是技术选择——而是商业模式的选择。
- 修改您的 SLA
- 停止使用 Universe 软件
- 使用 Ubuntu 6 个月的版本,而不是 LTS
- 订阅
- 创建或加入其他 (非专业) 小组,修复或缓解 Universe CVE
还请注意,您使用的任何审计方法显然已被证明是无效的。它本应一直揭示那些未修补的 Universe CVE。