我正在运行 Ubuntu LTS 服务器。Universe 软件包的安全补丁是否存在问题?我的意思是,与运行类似的 Debian 服务器相比,如果使用 Universe 软件包,我是否面临运行易受攻击的系统的风险?
答案1
即使在 Debian 中,也有许多软件包没有定期获得安全更新。来自 OFTC IRC 上的 Debian 安全频道:
安全团队在软件包维护人员(和上游开发人员)的帮助下为所有软件包提供支持。
从一般讨论中,我们可以假设重大安全漏洞会引起他们的注意,但严重程度显然有一个门槛。
来自 Debian 安全常见问题解答中有关“Debian 如何处理安全性?”的问题:
一旦安全团队收到事件通知,一名或多名成员就会审查该通知并考虑其对 Debian 稳定版本的影响(即是否易受攻击)。如果我们的系统易受攻击,我们会着手修复该问题。如果软件包维护者尚未联系安全团队,我们也会联系他们。最后,测试修复程序并准备新软件包,然后在所有稳定架构上编译并上传。完成所有这些操作后,将发布公告。
然而,需要考虑的一点是,安全团队不会熟悉所有软件包,并且会依赖软件包维护者和上游开发人员的支持来“修复”问题。
在 Debian 安全 IRC 频道进一步讨论后,有人说我的分析很好地总结了情况:
Debian 安全团队在软件包维护者和上游的帮助下为所有人提供支持,但他们不会亲自修补所有内容。--
teward
Ubuntu 也不例外,只是社区支持“universe”。Ubuntu 安全团队不会主动维护 Universe 软件包,这些软件包的安全修复程序由社区提供(有一些例外,例如 nginx 软件包,我几乎只向 Ubuntu 安全团队提供补丁)。虽然不能保证这些软件包会更新,但许多流行的软件包会受到足够的关注,通常会有人努力尝试修补安全问题。
不过,要具体回答,您需要提供您感兴趣的软件包列表,但不能在这个网站上提供,因为那会变成一组开放式、无休止的问题和答案。
然而,在本网站的范围内真正回答“易受攻击的系统”的问题是不可能的,因为虽然您可以采取“保护措施”来缓解由于这些软件包的性质而产生的一些未修补软件的影响,但分析您的使用案例并确定每件事的缓解措施也超出了本网站的范围,并且超出了在此处规定的限制内回答的能力。