我是否面临风险？如何解读 debscan 漏洞输出？

今天我看到一段关于如何识别漏洞

debsecan被提到。我下载的并被处决debsecan，结果我收到了一份很长的、令人震惊的报告。

编辑

• 我确实跑了debsecan --suite=stretch
• 我正在运行 debianstretch 9.9，内核为 4.9.0-9-amd64
• 我的sources.list包含：

deb http://ftp.stw-bonn.de/debian/ 拉伸主线
deb-src http://ftp.stw-bonn.de/debian/ 拉伸主线

deb http://security.debian.org/debian-securitystretch/updates main
deb-src http://security.debian.org/debian-securitystretch/updates main

# 拉伸更新，以前称为“易失性”
deb http://ftp.stw-bonn.de/debian/stretch-updates main
deb-src http://ftp.stw-bonn.de/debian/stretch-updates main


# Backports ### 要从 Backports 安装软件包： apt-get -tstretch-backports install "package"
deb http://deb.debian.org/debian stretch-backports main

首先，我认为使用apt update && apt -y upgrade就足以保持最新状态。但当我看到关于 debsecan 我有这么多具有​​已知漏洞的工具，尤其是那些高度紧急的工具时，情况似乎并非如此。仅举几个：busybox、unrar、multiarch-support、bsdutils、mount、login、util-linux...

然后我检查过例如，CVE-2016-2779 util-linux（高度紧急）。

关于 security-tracker.debian.org，版本 2.33.1-0.1（buster、sid）中有一个修复。

所以我希望我能以某种方式升级该软件包。

您对我如何实现这一目标有什么建议吗？我尝试过，apt-get -t stretch-backports install util-linux但这没有帮助。

正如我所读到的，我可以升级到 debian-testing 作为一种选择。还有其他选择吗？

就像我的名字所暗示的那样，我是 Linux 新手。这一切对我来说都是新的。直到昨天，我还以为我的机器会始终保持最新状态，但现在我发现事实并非如此。

---

我编辑了我的问题，因为人们指出我不要在 ubuntu 安装上使用 debsecan，因为 debsecan 不打算在 ubuntu 内部使用，尽管您可以使用 apt 从 ubuntu 存储库下载它。不知道为什么你可以下载一个最终不适合在你的发行版中使用的工具，但是没关系。