我们从 Ubuntu 软件包管理器安装了 tomcat9 和 nginx,但很快意识到可用的软件包版本没有最新的安全性和补丁。然后我们订阅了 ubuntu pro esm-apps,据说它拥有包括 tomcat9 和 nginx 在内的许多软件包的最新安全性和补丁。
但是运行sudo apt update不会将这些包更新为最新版本。我们还需要做其他事情吗?
Ubuntu 版本 - 22.04.3 LTS
user@host:/# sudo pro security-status --esm-apps
749 packages installed:
8 packages from Ubuntu Universe/Multiverse repository
Universe/Multiverse packages are receiving security updates from
Ubuntu Pro with 'esm-apps' enabled until 2032.
Run 'pro help esm-apps' to learn more
Installed packages covered by esm-apps:
libeclipse-jdt-core-java libnetfilter-queue1 libtcnative-1 libtomcat9-java
python3-parted rename tomcat9 tomcat9-common
Tomcat9 仍为 2022 年 1 月发布的旧版本 9.0.58
user@host:/..../tomcat9/bin# ./version.sh
Server version: Apache Tomcat/9.0.58 (Ubuntu)
Server built: Jan 6 1970 15:09:28 UTC
Server number: 9.0.58.0
OS Name: Linux
OS Version: 6.2.0-1019-azure
Architecture: amd64
JVM Version: 11.0.21+9-post-Ubuntu-0ubuntu122.04
JVM Vendor: Ubuntu
我如何确保我们从 esm-apps 获取最新内容?
更新
sudo apt upgrade没有将 tomcat9 列为要升级的软件包
user@host:/# sudo apt upgrade
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Calculating upgrade... Done
The following packages will be upgraded:
alsa-ucm-conf
1 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 43.4 kB of archives.
After this operation, 0 B of additional disk space will be used.
apt list --installed显示以下内容。
tomcat9-common/jammy-updates,now 9.0.58-1ubuntu0.1 all [installed,automatic]
tomcat9/jammy-updates,now 9.0.58-1ubuntu0.1 all [installed]
apt policy tomcat9显示以下内容
tomcat9:
Installed: 9.0.58-1ubuntu0.1
Candidate: 9.0.58-1ubuntu0.1
Version table:
*** 9.0.58-1ubuntu0.1 500
500 http://azure.archive.ubuntu.com/ubuntu jammy-updates/universe amd64 Packages
100 /var/lib/dpkg/status
9.0.58-1 500
500 http://azure.archive.ubuntu.com/ubuntu jammy/universe amd64 Packages
答案1
您需要查看Ubuntu 安全声明网站并交叉引用 CVE,查看是否有可用的 Ubuntu 或 Ubuntu Pro 修补版本。您还可以验证您正在运行的版本是否已修补。
我提供的链接显示了 nginx 的搜索结果。您还可以搜索单个 CVE,只需在搜索栏中输入 CVE 编号并按 即可ENTER。
答案2
Ubuntu ESM 不通过订阅提供最新版本。但是,安全修复程序会反向移植到针对该操作系统版本的软件版本发布的最新稳定版本。例如,9.0.58 是针对 Ubuntu 22.04.3 LTS 发布的 Tomcat9 版本。但是,根据 Canonical 的说法,安全修复程序会反向移植到此版本,并可通过 ESM 订阅获得。
借助 Ubuntu Pro,我们为用户提供了数百个针对其他供应商未维护的软件版本的安全修复程序。但在某些情况下,我们可能不会提供修复程序。Ubuntu Pro 致力于解决高危或关键 CVE。因此,中等或低危 CVE 不在范围内。通常,我们可以根据客户要求修复选定的中等 CVE。我们通常不解决低危 CVE。有时,如果由于 Ubuntu 的配置可以减轻 Ubuntu 上的风险,Ubuntu 安全团队可以更改 CVE 的优先级。如果上游尚无可用的补丁,或者上游对 CVE 提出异议,则可能也没有可应用的修复程序
我从 nginx 文档中看到他们已经修复了一些 CVE。https://ubuntu.com/security/cves?q=&package=nginx&priority=&version=jammy 有些被标记为不易受攻击。
然而,Tomcat 的情况并非如此。大多数漏洞都处于“需要分类”状态。可能是因为这些漏洞的 CVE 级别为中级和低级。https://ubuntu.com/security/cves?q=&package=tomcat9&version=jammy