我有几个服务器运行着 Xenial (16.04 LTS)。我运行了一个安全扫描工具 (AWS Inspector),它显示了服务器上未修补的 CVE 漏洞列表。其中很多与 binutils 有关,例如https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-6323.html
我可以看到上面的 Canonical 链接上的包更新被标记为需要,但是我确实:
sudo apt-get update
sudo apt-get upgrade --dry-run
我没有看到任何补丁。我最近成功运行了升级,因此没有什么新东西可学。但 binutils 仍然触发警报,版本为2.26.1-1ubuntu1~16.04.8。
有没有办法升级 binutils 来修补 Xenial 上的这些漏洞?或者这只是虚惊一场?
答案1
在这种情况下,“需要”并不意味着“我们已上传修补程序包,您需要立即升级“。
相反,它的意思是“Ubuntu 安全团队尚未应用此补丁,但它已列入我们的待办事项清单“”。
您可以使用普通的旧命令再次检查apt-cache madison <packagename>。Madison 将返回您发行版的 Ubuntu 存储库中可用的当前软件包。
例如,以下是我在 Xenial (16.04) 中编写此文时可用的内容:
binutils | 2.26-8ubuntu2 | xenial
binutils | 2.26.1-1ubuntu1~16.04.8 | xenial-security
binutils | 2.26.1-1ubuntu1~16.04.8 | xenial-updates
您可以看到您的版本2.26.1-1ubuntu1~16.04.8是最新版本。
大多数人不需要通过检查 apt-cache 并运行 apt 命令来安装安全升级。如果您愿意,当然可以这样做,因为它是受支持的。但大多数人通常应该使用无人值守升级应用程序,它是所有 Ubuntu 桌面版本和 Ubuntu 服务器的默认安装的一部分。它将每天检查 -security 包中的新升级,并在后台轻松安装它们。
如果您需要知道某个软件包的上次升级时间,apt 和 Unattended Upgrades 都会以易于 grep 的格式将所有活动记录在 /var/log 中。
关于这个特定 CVE 的一点说明 - 您会注意到 Ubuntu 安全团队已将优先级标记为“低”。如果您的审计不断发出该警告,请确保您的审计审阅者知道您正在跟踪它,但它的优先级较低。如果您知道 Ubuntu 安全团队遗漏的有关此特定漏洞的某些信息,并认为它值得更高的优先级,请联系安全团队并讨论该问题。
安全团队欢迎志愿者测试和协助。如果志愿者帮助打包和测试低优先级修复程序恰好能清理您的审计,那就更好了。如果您对安全团队的工作方式、工作内容和工作优先级感到好奇,您可能会发现他们的播客照亮。