我看到漏洞利用OpenLDAP(slapd)软件包之前存在大量漏洞2.4.57。
如果我想在我的 Debian 10 上从官方存储库安装 OpenLDAP,哪个版本是slapd/oldstable,oldstable 2.4.47+dfsg-3+deb10u6 amd64。
这些 CVE 的安全补丁是否已移植到此2.4.47版本,还是我必须2.6.x从官方网站获取最新版本(),并从源代码安装它以摆脱这些 CVE?
谢谢。
答案1
通常,无论软件包是什么版本,都会针对安全问题进行修补。因此,如果您看到类似“在 2.4.57 之前的 OpenLDAP 中发现一个缺陷...”之类的信息,并且您的系统上安装了 2.4.49,这并不一定(在大多数情况下:它就是不)意味着您的服务器存在漏洞,当然,前提是您的软件包来自官方 Debian 存储库。
您可以检查某个软件包是否修补了特定漏洞Debian 安全漏洞追踪器。有检查当前易受攻击的软件包的链接,但您可以搜索软件包或 CVE ID(在页面底部),并检查某个漏洞是否已被修补。
如果你想查看一个包,你应该提供来源包,而不是您实际安装的包。例如,对于slapd,源包称为openldap,因此在列出漏洞时应使用它。可以使用以下命令查询给定包的源:
apt-cache show (package) | grep Source: