我有一个在 Ubuntu Server 18 上运行的 Web 应用程序。它的一个依赖项是 Ghostscript。我能够通过 apt-get 安装的最新版本是 9.26,但我发现这个版本存在安全问题。
我正在寻找一种自动检测软件包何时出现 CVE 的方法。我原以为只需检查 apt-get 存储库即可,但它只能告诉我是否有更新的版本,而不能告诉我最新版本是否存在问题。
有没有办法从命令行发现某个版本软件包是否存在漏洞?例如,某个命令、某个公共 API 或文件,我可以围绕它构建脚本吗?
答案1
我能够通过 apt-get 安装的最新版本是 9.26,但我发现此版本存在安全问题。
这话确实没错,但可能又不完全是事实。
几乎所有主流 Linux 发行版都会反向移植安全更新。反向移植的原因和过程在RedHat.com但 Ubuntu 的情况类似。(请阅读整篇文章。)简而言之,软件本身报告的旧版本号并不一定等同于不安全。
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ghostscript 和https://www.ghostscript.com/doc/9.55.0/News.htm
两者都显示了最新 Ghostscript 版本中修复的一系列问题。
您是否需要更新到 Ghostscript 9.55 来修复所有这些问题?
不。
https://ubuntu.com/security/notices/USN-4686-1显示许多漏洞已被移植回来,Ubuntu 18 根本不会受到最新 CVE 的攻击
https://ubuntu.com/security/cves?package=ghostscript
一般来说,定期应用安全更新(只要您的发行版受支持)就可以保证您的安全。
答案2
你需要德布塞坎。
debsecan 分析当前主机上已安装的软件包列表并报告系统中发现的漏洞。
答案3
我使用得还不错沃尔斯在许多 *nix 平台上。