问题描述
具体问题:Oneiric nginx package的版本为1.0.5-1,根据changelog于2011年7月发布。
最近的memory-disclosure漏洞(advisory page,CVE-2012-1180,DSA-2434-1)在1.0.5-1中未修复。如果我没有误读Ubuntu CVE页面,那么所有Ubuntu版本似乎都会出现易受攻击的nginx。
-
这是真的?如果是这样的话:我认为Canonical有一个安全团队正积极处理这样的问题,因此我希望通过
apt-get update在短时间内(数小时或数天)获得安全更新。 -
这是否期望 – 保持我的软件包up-to-date足以阻止我的服务器拥有已知的漏洞 – 通常是错误的?
-
如果是这样的话:我该怎么做才能保证它的安全?阅读Ubuntu security notices在这种情况下没有帮助,因为nginx漏洞从未在那里发布过。
最佳解决方法
Ubuntu目前分为四个组件:main,restricted,universe和multiverse。 Ubuntu安全团队在Ubuntu版本的生命周期内支持main和restricted的软件包,而Universe和多元软件包中的软件包由Ubuntu社区支持。有关更多信息,请参阅the security team FAQ。
由于nginx位于Universe组件中,因此它不会从安全团队获取更新。由社区来解决该软件包中的安全问题。请参阅here for the exact procedure。
您可以使用软件中心或ubuntu-support-status命令行工具来确定正式支持哪些软件包以及支持多长时间。
从未来更新:Nginx正在转向main,因此将获得Ubuntu安全团队的支持。如果您不确定您的版本是否可用,只需查看apt-cache show nginx并查找”Section”标记。当它在Main中时,你将获得Canonical支持。
次佳解决方法
ppa中用于精确的nginx包位于Version 1.1.17-2 uploaded on 2012-03-19。
如果您需要仍处于候选且未被接受的CVE补丁,您可以考虑添加ppas。
在这个特定的包和错误这里是来自the package bug tracker的一些注释。
第三种解决方法
由Canonical主动保持Ubuntu ‘main’存储库中的软件包。 (要成为默认安装的一部分,包必须位于main内。)
但是,对于”universe”中的nginx等软件包,我不希望及时进行安全更新。这是因为这些包由志愿者而不是Canonical维护。期望Canonical不断监视宇宙中存在的数万个包是不合理的。