Comment savoir si un CVE a été corrigé dans les référentiels d'Ubuntu?

Aujourd'hui, deux dépassements de tampon dans NTP ont été annoncés 1 , 2 . Il semble que la mise à jour de mon système pour résoudre ces problèmes soit en règle.

Comment puis-je savoir s'ils ont été corrigés dans les référentiels Ubuntu, de sorte que si je devais exécuter:

sudo apt-get update
sudo apt-get upgrade

alors le correctif serait installé et la vulnérabilité fermée?

Modifier: la réponse sélectionnée répond spécifiquement à la question de savoir si un CVE donné a été corrigé ou non, "Ubuntu publie-t-il généralement des mises à jour de sécurité en temps opportun?" 3 est certainement lié mais pas identique

Ce que vous recherchez, ce sont des notifications de sécurité Ubuntu et elles ne sont pas clairement répertoriées dans les référentiels. Cette page est la liste principale des notifications de sécurité d'Ubuntu.

En ce qui concerne les packages individuels, les mises à jour qui traitent des correctifs de sécurité se trouvent dans leur propre référentiel spécial, la -securitypoche. En utilisant Synaptic, vous pouvez basculer vers la vue "Origine" et voir les paquets dans la RELEASE-securitypoche.

Tous les CVE sont également répertoriés dans le tracker CVE de l'équipe de sécurité d'Ubuntu - avec votre CVE spécifiquement référencé ici . Dans le cas de CVE-2014-9295 auquel vous faites référence ici, il n'a pas encore été corrigé.

Une fois qu'une mise à jour est disponible, elle sera détectée par sudo apt-get update; sudo apt-get upgradesa publication dans le référentiel de sécurité.

Bien que la réponse acceptée soit correcte, je trouve souvent que je suis en mesure de trouver ces informations en affichant le journal des modifications d'un package, et c'est plus facile que de parcourir les trackers CVE ou la liste des notifications de sécurité. Par exemple:

sudo apt-get update
apt-get changelog ntp

La sortie de la commande ci-dessus comprend:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <[email protected]>  Sat, 20 Dec 2014 05:47:10 -0500
...

Ce qui montre clairement que les bugs que vous avez mentionnés ont été corrigés dans les référentiels ubuntu. Vous pouvez ensuite exécuter:

sudo apt-get upgrade

pour abaisser le correctif.

Je pense que vous parlez de vérifier le journal des modifications d'un paquet? Pour voir les nouveautés, les grandes corrections majeures, etc.? Synaptica un moyen facile d'essayer de télécharger les journaux des modifications.

Ou si le journal des modifications n'est pas disponible ou est trop bref, le meilleur moyen pourrait être de noter la version disponible, d'aller sur le site Web du développeur et de voir, espérons-le, des modifications plus détaillées.

Si vous exécutez ces commandes, vous obtiendrez tous les correctifs qui se trouvent dans les référentiels - mais ils ne le sont peut-être pas encore. Si Update Notifier est activé (un widget de barre d'état), vous recevrez une notification chaque fois qu'il y aura des mises à jour système ou de sécurité (et les mises à jour de sécurité seront notées comme telles). Ensuite, vous obtiendrez les correctifs dès leur sortie pour Ubuntu, sans avoir à les stresser.