web-dev-qa-db-fra.com

Comment lire correctement CVE - 2016 - 5696

La page Ubuntu CVE Tracker contient plusieurs tables liées aux paquets du noyau, dont certaines indiquent DNE, d'autres pending et la version à côté de chacune. Je voudrais savoir comment lire correctement chaque tableau. La version à côté de pending fait-elle référence à la version du noyau pour laquelle le correctif est publié?

Contexte de la question : Je réponds principalement aux questions sur le site Ask Ubuntu. Dernièrement, un nouvel utilisateur sur le site a été convaincu que j'avais mal interprété le rapport CVE mentionné ci-dessus, au point de modifier ma réponse originale de manière très intrusive.

Pour être parfaitement franc, la page CVE est en effet déroutante pour une personne qui ne lit pas régulièrement les rapports CVE. Il serait donc agréable de savoir comment lire correctement ces rapports pour l'avenir et d'avoir une opinion tierce.

20
Sergiy Kolodyazhnyy

La version à côté de en attente fait-elle référence à la version du noyau pour laquelle le correctif est publié?

Oui - plus précisément, la version à côté de "en attente" fait référence à la version du package dans la lignée dans laquelle le correctif est inclus.

Il existe de nombreux emballages binaires des sources du noyau en amont pour différentes plates-formes matérielles et autres cas d'utilisation - "linux", "linux-mako", "linux-snapdragon", etc. - et il existe également de nombreuses lignées de versions - Ubuntu 12.04 LTS/14.04/etc- de tous ces paquets qui sont maintenus simultanément.

Il peut donc être nécessaire de corriger le bogue en amont dans plusieurs emballages des mêmes sources sur plusieurs lignées. En raison de la complexité, un processus de triage est utilisé pour effectuer les classifications pertinentes et suivre les travaux. Cette page rend compte de l'état de ce processus de triage pour ce bogue particulier.

Cela peut être retracé comme suit:

  • choisissez l'un des packages - "linux" - et l'une des lignées - "Ubuntu 12.04 LTS".

    Le tableau indique que l'état du correctif pour ce package dans cette lignée est "en attente". La version du package qui contiendra le correctif dans cette lignée est "3.2.0-109.150".

  • pour confirmer, suivez le lien de lignée pour le package - https://launchpad.net/ubuntu/precise/+source/linux

  • faites défiler jusqu'à la section "Versions dans Ubuntu" de la page du paquetage de lignage et trouvez la version de correctif spécifique, qui a sa propre page: https://launchpad.net/ubuntu/+source/linux/3.2 .0-109.15

  • sur cette page est un journal des modifications. Dans ce journal des modifications, il est fait référence au CVE (CVE-2016-5696), au correctif particulier qui a été apporté et à la personne qui l'a créé.

La page CVE est source de confusion car elle est automatiquement publiée à partir d'un modèle de données complexe qui suit les interrelations entre les sources en amont et leurs emballages au sein et entre les lignées. Il suit un modèle optimisé pour l'autorité, pas nécessairement pour la lisibilité.

Les classifications, comme "DNE" ou "en attente" font référence au workflow de triage et de publication qu'Ubuntu suit. Les états sur cette page sont:

  • "DNE" signifie que le package n'existe pas dans la lignée
  • "ignoré" signifie que l'énergie n'est pas dépensée pour déterminer si le problème existe dans le package particulier de la lignée, car le support a pris fin pour une raison ou une autre. Voir par exemple le paquet linux-lts-quantal, dans la lignée Ubuntu 12.04 LTS. La prise en charge de ce package particulier (un package d'activation matérielle rétroporté) dans cette lignée est au-delà de la fin de vie.
  • "besoins de triage" signifie que le package dans la lignée est toujours pris en charge, mais un travail est nécessaire pour déterminer si le problème signalé existe réellement dans cette paire package-lignée. Voir par exemple le paquet "linux-goldfish" dans Ubuntu 16.10.
  • "non affecté" signifie que la vulnérabilité de code source sous-jacente existe dans le package particulier de la lignée, mais le triage a déterminé que, pour une autre raison, le problème ne se produira pas. Voir par exemple "linux-mako" dans Ubuntu 16.04 LTS.
  • "nécessaire" signifie bien sûr que le triage a déterminé que le package de la lignée est affecté, mais que des travaux sont nécessaires pour appliquer le correctif au package particulier de la lignée. Voir par exemple le paquet linux-armadaxp dans la lignée 12.04.
  • "En attente" signifie que le travail nécessaire pour appliquer le correctif au package particulier dans la lignée a été effectué, une version a été coupée et une version est en cours.
  • "release" signifie que le correctif pour le package dans la lignée a été publié
15
Jonah Benton