Existe-t-il un journal des modifications pour les avis de sécurité Ubuntu?
Tout en gardant une trace de SNs pour la vulnérabilité Stack Clash, j'ai remarqué que les USN déjà publiés apparaissaient avant ceux publiés plus tard. Les USN 33 {24..27} -1 ont été initialement publiés le 19, et maintenant ils affichent une date du 21 (comparer la page Web avec le message de la liste de diffusion pour 3324 -1). Pour 3324-1, il semble que certains packages du noyau aient été supprimés de la liste. Cependant, il est fastidieux d'examiner manuellement tous les USN mis à jour.
Y a-t-il un endroit où je peux voir ce qui a changé dans un USN?
Mis à part: pourquoi mettraient-ils à jour un USN, au lieu d'en publier un nouveau et d'incrémenter le nombre après le tiret?
Malheureusement, il n'y a pas de changelogs de mises à jour des USN eux-mêmes. Habituellement, une fois publiés, les numéros USN ne changent pas, sauf pour corriger une faute de frappe ou modifier légèrement la formulation.
Pour l'ensemble des USN du noyau qui couvraient le problème de Stack Clash ( CVE-2017-1000364 ), des erreurs ont été commises dans le processus de publication qui incluaient des références et des descriptions de correctifs qui n'étaient pas réellement inclus dans les noyaux publiés aux poches de sécurité. Ils ont couvert les problèmes qui étaient en suspens pour la prochaine série de noyaux Stable Release Update cadence kernels . Pour cette raison, les numéros USN ont été mis à jour pour inclure uniquement la référence et la description CVE-2017-1000364.
Ces problèmes seront résolus lors de la prochaine série de mises à jour du noyau, qui étaient prév déjà publiées, mais qui étaient retardées en raison de la nécessité d'incorporer les correctifs pour CVE-2017 -1000364, ainsi que pour l'adresse régressions introduite par les correctifs Stack Clash.