Possiamo trovarli sul sito web del debian CPE / Elenco alias, lista CVE relativa ai pacchetti. Ma non riesco a capire dove possiamo sapere quale patch di pacchetti correggere quali vulnerabilità? Ad esempio:
Vai alla pagina QA del pacchetto. Per questo, usi il nome del pacchetto source (qui "bind9"):
http://packages.qa.debian.org/bind9
O usi il nome del pacchetto binario (ad es. "bind9-host"):
http://packages.debian.org/bind9-host
Se hai usato lo binario , fai clic sul pacchetto in una distribuzione (ad esempio oldstable ) ¹, quindi su "Informazioni sviluppatore (PTS)" nella casella "Risorse Debian:" in il diritto, che ti reindirizza alla pagina QA.
① Questa pagina ha convenientemente "[Fonte: bind9]" nell'angolo in alto a sinistra, che indica il nome del pacchetto sorgente per il pacchetto binario . Ne avrai bisogno di seguito.
Una volta sulla pagina QA, vedi la casella "notizie" al centro della pagina. Questo avrà il changelog per ogni singolo upload. Fai clic su "[2013-08-10] Accepted 1: 9.7.3.dfsg-1 ~ squeeze11 in squeeze-security (high) (Salvatore Bonaccorso)" e ricevi reindirizzato qui che mostra CVE-2013-4854. Si applicano anche tutte le modifiche delle versioni precedenti, normalmente.
Infine, c'è il tracker della sicurezza in cui puoi cercare i nomi dei pacchetti di origine . (Se hai solo il nome del pacchetto binario, vedi sopra.) Immetti "bind9" ti reindirizza a ...
https://security-tracker.debian.org/tracker/source-package/bind9
... dove hai, di nuovo, tutti i CVE e i DSA. Facendo clic su uno di essi (uno di essi) verrà visualizzata una pagina di panoramica in cui vengono visualizzati i pacchetti che risolvono i problemi relativi alle distro.
Se vuoi sapere quali sono i problemi di sicurezza (e altri) di una particolare versione di un pacchetto Debian, controlla il suo log delle modifiche. Tutti i changelog sono online; ad esempio, per bind9 in squeeze, vai a link ( http://packages.debian.org/RELEASE/PACKAGE ) e fai clic sul link "Debian Changelog" . Se conosci la versione esatta del pacchetto (o un numero di versione più recente), puoi accedere a link ( http://metadata.ftp-master.debian.org/changelogs/DISTRIBUTION/FIRST_LETTER/SOURCE_PACKAGE_NAME/BINARY_PACKAGE_NAME_BINARY_PACKAGE_VERSION_changelog ).
Se vuoi sapere quale versione del pacchetto Debian corregge un particolare avviso di sicurezza, puoi cercarlo nel tracker dei bug di sicurezza Debian (inserisci il nome CVE nella casella di ricerca) o passa direttamente a
link ( http://security-tracker.debian.org/tracker/NAME ).