具体问题:Oneiric nginx 包版本号为 1.0.5-1,发布于 2011 年 7 月,根据变更日志。
最近的内存泄露漏洞(咨询页面,CVE-2012-1180,DSA-2434-1) 在 1.0.5-1 中没有修复。如果我没有误读 Ubuntu CVE 页面,所有 Ubuntu 版本似乎都附带有易受攻击的 nginx。
这是真的?
如果是这样:我认为 Canonical 有一个安全团队正在积极处理此类问题,因此我希望在短时间内(几小时或几天)通过获得安全更新
apt-get update。这种期望——保持我的软件包更新就足以阻止我的服务器出现已知的漏洞——通常是错误的吗?
如果是的话:我应该怎么做才能保证它的安全?阅读Ubuntu 安全声明在这种情况下不会有帮助,因为 nginx 漏洞从未在那里发布过。
答案1
Ubuntu 目前分为四个部分:主版本、受限版本、宇宙版本和多元版本。主版本和受限版本中的软件包由 Ubuntu 安全团队在 Ubuntu 发行版的整个生命周期内提供支持,而宇宙版本和多元版本中的软件包则由 Ubuntu 社区提供支持。请参阅安全团队常见问题解答了解更多信息。
由于 nginx 位于 Universe 组件中,因此它不会从安全团队获得更新。修复该软件包中的安全问题由社区负责。请参阅点击此处了解具体流程。
您可以使用软件中心或ubuntu-support-status命令行工具来确定哪些软件包受到官方支持以及支持多长时间。
来自未来的更新:Nginx 正在迁移到主 so将要此时,您将获得 Ubuntu 安全团队的支持。如果您不确定您的版本是否会支持,只需查看apt-cache show nginx并查找“Section”标签。当它位于 Main 中时,您将获得 Canonical 的支持。
答案2
答案3
Canonical 会积极更新 Ubuntu“主”存储库中的软件包。(要成为默认安装的一部分,软件包必须位于主存储库中。)
但是,对于像 nginx 这样存在于“宇宙”中的软件包,我不会期望及时的安全更新。这是因为这些软件包是由志愿者而不是 Canonical 维护的。期望 Canonical 不断监控宇宙中存在的数万个软件包是不合理的。
答案4
对于基于 Debian 的发行版(例如 Ubuntu)上的软件包,安全补丁会反向移植到当前版本中。发布版本不会更新,因为这可能会引入不兼容的功能。相反,安全团队(或软件包维护者)会将安全补丁应用于当前版本并发布修补版本。
当前部署的版本可能存在漏洞,因为它不受 Ubuntu 安全团队的支持。这并不意味着它存在漏洞,因为软件包维护者可能已经修补了它。检查目录
changelog中的/usr/share/doc/nginx以查看安全补丁是否已反向移植。如果没有,补丁可能正在进行中并在测试版本中可用。您正确地假设,保持服务器更新将大大减少您运行不安全软件的时间。有些软件包可以配置为自动下载和可选安装更新。这些软件包还可以通知哪些补丁已安装或准备安装。
对于安全团队不支持的软件包,您可能需要注意任何未解决的安全问题。评估风险,因为并非所有漏洞都可以在所有系统上利用。有些可能依赖于配置或需要本地访问。其他可能没有其他问题就不那么重要,例如利用竞争条件替换游戏高分文件。