J'ai plusieurs serveurs fonctionnant avec Xenial (16.04 LTS). J'ai exécuté un outil d'analyse de sécurité (AWS Inspector) qui affiche une liste des vulnérabilités CVE non corrigées sur le serveur. Beaucoup d'entre eux concernent les binutils, par exemple https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-6323.html
Je peux voir que sur ce lien canonique au-dessus de la mise à jour du package est marqué comme nécessaire, mais je fais:
Sudo apt-get update
Sudo apt-get upgrade --dry-run
Je ne vois aucun patch. J'ai récemment exécuté une mise à niveau avec succès, donc rien de nouveau à ramasser. Mais binutils déclenche toujours l'alerte et est à la version 2.26.1-1ubuntu1~16.04.8
.
Existe-t-il un moyen de mettre à niveau binutils pour corriger ces vulnérabilités sur Xenial? Ou est-ce une fausse alarme?
Dans ce cas, "nécessaire" ne signifie PAS " Nous avons téléchargé un paquet corrigé et vous devez mettre à jour maintenant ".
Au lieu de cela, cela signifie " Ce correctif n'a pas encore été appliqué par l'équipe de sécurité d'Ubuntu, mais il figure sur notre liste de tâches ".
Vous pouvez vérifier que vous utilisez l'ancienne commande apt-cache madison <packagename>
. Madison renverra le package actuel disponible à partir des référentiels Ubuntu de votre version.
Par exemple, voici ce qui est disponible au moment où j'ai écrit ceci dans Xenial (16.04):
binutils | 2.26-8ubuntu2 | xenial
binutils | 2.26.1-1ubuntu1~16.04.8 | xenial-security
binutils | 2.26.1-1ubuntu1~16.04.8 | xenial-updates
Vous pouvez voir que votre version 2.26.1-1ubuntu1~16.04.8
Est la plus récente disponible.
La plupart des gens n'ont pas besoin d'installer des mises à niveau de sécurité en vérifiant apt-cache et en exécutant les commandes apt. Vous pouvez certainement si vous le souhaitez, c'est pris en charge. Mais la plupart des utilisateurs en général devraient utiliser l'application Mises à jour sans assistance qui fait partie de l'installation par défaut de toutes les versions d'Ubuntu Desktop et d'Ubuntu Server. Il vérifiera quotidiennement les nouvelles mises à niveau dans la poche de sécurité et les installera sans problème en arrière-plan.
Si vous avez besoin de savoir quand un package particulier a été mis à niveau pour la dernière fois, apt et les mises à niveau sans assistance enregistrent toutes les activités dans/var/log dans un format facile à utiliser.
Une remarque à propos de cette CVE particulière - vous remarquerez que l'équipe de sécurité d'Ubuntu a marqué la priorité "faible". Si vos audits continuent de lancer ce drapeau rouge, assurez-vous que votre réviseur d'audit sait que vous le suivez, mais c'est une priorité faible. Si vous savez quelque chose sur ce vuln particulier que l'équipe de sécurité Ubuntu a manqué et que vous pensez qu'il mérite une priorité plus élevée, contactez l'équipe de sécurité et discutez du problème.
L'équipe de sécurité accueille volontiers les tests et l'assistance des volontaires. Si vous vous portez volontaire pour aider à conditionner et tester un correctif de faible priorité arrive à nettoyer vos audits, tant mieux. Si vous êtes curieux de savoir comment fonctionne l'équipe de sécurité, ce qu'elle fait et comment elle priorise le travail, vous trouverez peut-être leur podcast éclairant.