Come faccio a sapere se la mia versione di Ubuntu di Ubuntu è sicura?

Question

Come faccio a sapere se la mia versione di Ubuntu di Ubuntu è sicura?

Naviga le tue risposte

#1 da (3 voti)
#2 da (1 voti)

2

Sono in esecuzione Ubuntu 16.04 LTS e controllo dpkg -l apache2
mi dà la versione 2.4.18-2ubuntu3.9 .

Come faccio a sapere che 2ubuntu3.9 ha le ultime patch di sicurezza elencate qui al link ?

Ho trovato i seguenti siti:

1) link

Qui niente mi dice nulla su 2ubuntu3.9

2) link

Qui niente mi dice se 2ubuntu3.9 è l'ultimo. Mi dice solo che è stato pubblicato il 2018-07-04. Tuttavia, l'ultimo CVE "moderato" nella pagina apache sopra riportata è CVE-2018-8011 contrassegnato come "Aggiornamento rilasciato: 15 luglio 2018", quindi posso presumere che questo non sia stato ancora aggiornato sulla mia versione? C'è un 2ubuntu4.0 dove è stato patchato? quando sarà rilasciato?

3) link

Non riesci a trovare alcun CVE dalla pagina di apache qui. Ad esempio, CVE-2017-9789 non è presente nell'elenco.

Domanda: C'è un modo per vedere facilmente a quale CVE è vulnerabile Apache 2.4.18-2ubuntu3.9?

apache ubuntu patching

posta MPS 28.11.2018 - 03:33

fonte

2 risposte

1

Un'opzione è guardare il launchpad sotto Bugs- > CVE link

Questi sono i bug che sappiamo influire su quella versione di Apache come è stata costruita da Canonical.

Tuttavia, come Steffen Ulrich ha descritto dettagliatamente nella sua risposta sopra, c'è un equilibrio di problemi con il codice, la distribuzione e poi il software su cui è in esecuzione il pacchetto.

risposta data 28.11.2018 - 15:33

fonte

Leggi altre domande sui tag apache ubuntu patching

Cosa può fare qualcuno con prompt dei comandi (non amministratore) su una rete? È necessaria una chiave SSH per SFTP?

score 3 · Accepted Answer

How do i know that 2ubuntu3.9 has the latest security patches

Questo non è un semplice. Non tutte le vulnerabilità elencate su la pagina di sicurezza di Apache sono rilevanti per la versione fornita con Ubuntu. Ubuntu spedisce la versione 2.4.18 con patch backport che considerano rilevanti.

Il punto di partenza per vedere cosa è stato corretto sarebbe il Changelog e confrontalo con l'elenco di bug pubblicato da Apache.

Tuttavia, che un CVE non è stato trovato nel Changelog non significa che la versione fornita sia vulnerabile contro questo. Ad esempio CVE-2018-8011 è considerato che interessa solo Apache 2.4.33 e non la versione 2.4.18 fornita con xenial . Simili le informazioni su CVE-2018-1333 e CVE-2018-11763 indica che il codice specifico in cui la vulnerabilità non è inclusa nella versione fornita con xenial ( "non interessato (codice non creato)" ).

Quindi, per sapere se una vulnerabilità specifica è ancora un problema con la versione spedita, devi scavare nel Changelog e se non trovi il CVE lì devi controllare perché non è stato corretto, cioè probabilmente perché non ha influito sulla versione spedita.

How do i know if my ubuntu apache version is secure?

L'idea di base di questa domanda è in qualche modo sbagliata. Il fatto che alcuni software non siano vulnerabili a CVE noti non significa che sia sicuro. Se si scoprono nuove vulnerabilità, il software non diventa magicamente insicuro finché il CVE non viene risolto: prima non era sicuro, ma i nuovi problemi rilevati non erano ancora ampiamente conosciuti.

Ci sono diversi fattori da considerare per determinare se un software è sufficientemente sicuro per uno scopo specifico. Uno è probabilmente il track record del software: il software che è ampiamente utilizzato ma aveva solo problemi di bassa severità in passato è probabilmente più affidabile rispetto al software che ha avuto un sacco di problemi gravi in passato, anche se tutti i problemi noti sembrano essere risolti conoscere. Ad esempio, non mi fiderei sicuramente di Flash neanche dopo l'ultima patch di sicurezza, ma mi aspetto che il prossimo numero venga visualizzato entro poche settimane (di solito lo fa) e che gli hacker conoscono e già utilizzano problemi non ancora pubblicati.

Per mantenere basso il rischio (e gestito) è anche rilevante l'impatto che potrebbero avere problemi di sicurezza nel software. Limitare l'impatto potenziale utilizzando il software solo per cose non importanti potrebbe limitare il rischio, così come mitigare potenziali problemi eseguendo il software con bassi privilegi, monitorando attività sospette, ecc.