Ubuntu publie-t-il généralement des mises à jour de sécurité en temps opportun?

32

Problème concret: Le paquet Onirique nginx est à la version 1.0.5-1, sorti en Juillet 2011 selon le changelog .

La récente vulnérabilité de divulgation de la mémoire ( page de conseil , CVE-2012-1180 , DSA-2434-1 ) n'est pas corrigée dans 1.0.5-1. Si je ne me trompe pas sur la page CVE d'Ubuntu, toutes les versions d'Ubuntu semblent contenir un nginx vulnérable.

  1. Est-ce vrai?

    Si tel est le cas: je pensais qu'il y avait une équipe de sécurité chez Canonical qui travaillait activement sur des problèmes comme celui-ci. Je m'attendais donc à recevoir une mise à jour de sécurité dans un délai très court (quelques heures ou quelques jours) apt-get update.

  2. Est-ce que l'attente - que maintenir mes paquets à jour est suffisant pour empêcher mon serveur d'avoir des vulnérabilités connues - est généralement fausse?

  3. Si oui: que dois-je faire pour le garder en sécurité? La lecture des avis de sécurité Ubuntu n’aurait pas aidé dans ce cas, car la vulnérabilité de nginx n’y avait jamais été signalée.

Jo Liss
la source
4
I + 1-ed pour avoir un problème concret à citer.
RobotHumans

Réponses:

39

Ubuntu est actuellement divisé en quatre composants: principal, restreint, univers et multivers. Les paquets main et restreint sont pris en charge par l’équipe de sécurité Ubuntu pendant la durée de vie d’une version Ubuntu, tandis que ceux de l’univers et du multivers sont pris en charge par la communauté Ubuntu. Consultez la FAQ de l'équipe de sécurité pour plus d'informations.

Nginx étant dans le composant Univers, il n’est pas mis à jour par l’équipe de sécurité. Il appartient à la communauté de résoudre les problèmes de sécurité dans ce package. Voir ici pour la procédure exacte .

Vous pouvez utiliser le Centre logiciel ou l' ubuntu-support-statusoutil de ligne de commande pour déterminer quels packages sont officiellement pris en charge et pendant combien de temps.


Mise à jour de l'avenir : Nginx se déplace à principal afin sera recevoir le soutien de l'équipe de sécurité Ubuntu à ce moment - là. Si vous ne savez pas si votre version le fera, il suffit de regarder apt-cache show nginxet de rechercher la balise "Section". Lorsque cela se trouve dans Main, vous bénéficiez de l'assistance de Canonical pour cela.

mdeslaur
la source
Notez que ubuntu-support-status est bogué, vous risquez donc de ne pas avoir une grande chance: bugs.launchpad.net/ubuntu/+source/update-manager/+bug/849532
Ben McCann
14

Le paquet nginx dans ppa pour precise est à Version 1.1.17-2 uploaded on 2012-03-19 .

Si vous avez besoin de correctifs pour les CVE qui sont encore candidats et qui ne sont pas acceptés, vous pouvez envisager d’ajouter ppas .

Sur ce paquet et ce bogue en particulier, voici quelques notes tirées du suivi des bogues du paquet .

RobotHumans
la source
4

Les paquets contenus dans le référentiel «principal» d'Ubuntu sont activement mis à jour par Canonical. (Pour faire partie de l'installation par défaut, un package doit être à l'intérieur de main.)

Cependant, pour des paquets tels que nginx, qui sont dans "l'univers", je ne m'attendrais pas à des mises à jour de sécurité rapides. En effet, ces packages sont gérés par des volontaires plutôt que par Canonical. Il ne serait pas raisonnable de s’attendre à ce que Canonical surveille en permanence les dizaines de milliers de packages existants dans l’univers.

8128
la source
1

Pour les paquets qui se trouvent sur des distributions basées sur Debian telles que Ubuntu, les correctifs de sécurité sont rétroportés dans la version actuelle. Les versions publiées ne sont pas mises à jour car cela peut introduire des fonctionnalités incompatibles. Au lieu de cela, l’équipe de sécurité (ou le responsable du paquet) appliquera le correctif de sécurité à la version actuelle et à une version corrigée.

  1. La version actuellement déployée peut être vulnérable car elle n'est pas prise en charge par l'équipe de sécurité Ubuntu. Cela ne signifie pas qu'il est vulnérable car le responsable du paquet peut l'avoir corrigé. Vérifiez changelogdans le /usr/share/doc/nginxrépertoire pour voir si le correctif de sécurité a été rétroporté. Sinon, le correctif est peut-être en cours et disponible dans la version de test.

  2. Vous avez raison de penser que le fait de garder votre serveur à jour réduira considérablement la période pendant laquelle vous exécutez un logiciel non sécurisé. Certains packages peuvent être configurés pour télécharger automatiquement des mises à jour et des mises à jour d'installation facultatives. Ceux-ci peuvent également indiquer quels correctifs ont été installés ou sont prêts à être installés.

  3. Pour les packages qui ne sont pas pris en charge par l'équipe de sécurité, vous souhaiterez peut-être faire attention aux problèmes de sécurité en suspens. Évaluez le risque car toutes les vulnérabilités ne sont pas exploitables sur tous les systèmes. Certains peuvent dépendre de la configuration ou nécessiter un accès local. D’autres peuvent ne pas être aussi significatifs sans d’autres problèmes, par exemple exploiter une condition de concurrence critique pour remplacer un fichier de scores élevés.

BillThor
la source