CentOS Security Tracker

10

La maggior parte delle distribuzioni Linux fornisce una pagina in cui è possibile verificare se l'ultimo pacchetto presenta vulnerabilità di sicurezza e in quale versione sono stati corretti.

Comprendo che CentOS deriva gran parte dei suoi pacchetti da RHEL, che ha quel tipo di pagina qui: link

Purtroppo sembra che CentOS prenda i numeri di versione di RHEL e li cambi, quindi non è possibile controllare quale versione di base del pacchetto RHEL proviene e se un particolare CVE è stato risolto nel pacchetto CentOS.

Ad esempio, qualcuno può dirmi quale versione di OpenSSH in CentOS corregge CVE-2014-2653? C'è un modo semplice (simile al sito Red Hat) per trovare le informazioni per qualsiasi CVE e qualsiasi pacchetto CentOS?

    
posta TimC 28.01.2015 - 11:35
fonte

1 risposta

5

Quindi sembra che l'errata di Red Hat e l'errata di CentOS siano gli stessi numeri.

Questo è il formato di Red Hat:

 RHSA-YYYY-####

E questo è il formato di CentOS:

 CESA-YYYY:####

Dove #### è lo stesso numero per entrambi. Quindi, per risolvere la tua domanda di esempio, ecco cosa ho fatto:

  1. Sono andato sul sito RedHat e ho cercato il numero CVE. Questo mi ha portato alla pagina CVE collegata a errata RHSA-2014-1552

  2. CentOS pubblica i suoi errata su una mailing list pubblicamente archiviata. In quell'email, hanno il numero "CentOS Errata and Security Advisory" e il pacchetto che hanno caricato per risolverlo. Ora uso la magia di Google e cerco "CESA-2014: 1552". sito: lists.centos.org è facoltativo, poiché dovrebbe essere il primo risultato indipendentemente dalla restrizione del dominio. La ricerca mi porta a questa email che elenca gli aggiornamenti dei pacchetti OpenSSH. Fai clic sul link per l'elenco.

Non è facile come cercare in un repository centrale online (cosa che CentOS non ha) ma puoi ottenere dal punto A al punto B senza troppe operazioni.

    
risposta data 30.01.2015 - 15:07
fonte

Leggi altre domande sui tag