我如何知道 CVE 是否已在 Ubuntu 存储库中修复？

您正在寻找的是 Ubuntu 安全通知，但它们没有在存储库中明确列出。 此页面是主要的 Ubuntu 安全通知列表。

对于单个软件包，解决安全问题的更新位于其自己的特殊存储库 Pocket 中-security。使用 Synaptic，您可以切换到“Origin”视图，并查看 Pocket 中的软件包RELEASE-security。

所有 CVE 也列在Ubuntu 安全团队的 CVE 跟踪器- 附上您特别提及的 CVE这里。就您在此处引用的 CVE-2014-9295 而言，在撰写本文时尚未修复。（此后已更新/修补）

一旦有更新可用，它将sudo apt-get update; sudo apt-get upgrade在安全存储库中发布后被检测到。

虽然接受的答案是正确的，但我经常发现我可以通过查看软件包的更改日志来找到这些信息，这比搜索 CVE 跟踪器或安全通知列表更容易。例如：

sudo apt-get update
apt-get changelog ntp

上述命令的输出包括：

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <[email protected]>  Sat, 20 Dec 2014 05:47:10 -0500
...

这清楚地表明您提到的错误已在 ubuntu 存储库中修复。然后您可以运行：

sudo apt-get upgrade

拉下修复程序。

找出哪些软件包（如果有）包含修复程序的最快方法是将 CVE 标识符附加到 URL 前缀https://ubuntu.com/security/。我将以此CVE-2023-2650为例，在这种情况下，生成的 URL 是https://ubuntu.com/security/CVE-2023-2650在那里您可以找到修复了漏洞的每个 Ubuntu 版本的软件包版本。

我想你说的是检查软件包的更新日志？要查看新增内容、重大修复等？Synaptic有一个简单的方法来尝试和下载更新日志。

或者，如果变更日志不可用或太简短，最好的方法可能是记下可用的版本，然后转到开发者网站并查看更详细的更改。