当前位置: 首页>>技术问答>>正文


Ubuntu一般会及时发布安全更新吗?

ubuntuer 技术问答 , , 去评论

问题描述

具体问题:Oneiric nginx package的版本为1.0.5-1,根据changelog于2011年7月发布。

最近的memory-disclosure漏洞(advisory pageCVE-2012-1180DSA-2434-1)在1.0.5-1中未修复。如果我没有误读Ubuntu CVE页面,那么所有Ubuntu版本似乎都会出现易受攻击的nginx。

  1. 这是真的?如果是这样的话:我认为Canonical有一个安全团队正积极处理这样的问题,因此我希望通过apt-get update在短时间内(数小时或数天)获得安全更新。

  2. 这是否期望 – 保持我的软件包up-to-date足以阻止我的服务器拥有已知的漏洞 – 通常是错误的?

  3. 如果是这样的话:我该怎么做才能保证它的安全?阅读Ubuntu security notices在这种情况下没有帮助,因为nginx漏洞从未在那里发布过。

最佳解决方法

Ubuntu目前分为四个组件:main,restricted,universe和multiverse。 Ubuntu安全团队在Ubuntu版本的生命周期内支持main和restricted的软件包,而Universe和多元软件包中的软件包由Ubuntu社区支持。有关更多信息,请参阅the security team FAQ

由于nginx位于Universe组件中,因此它不会从安全团队获取更新。由社区来解决该软件包中的安全问题。请参阅here for the exact procedure

您可以使用软件中心或ubuntu-support-status命令行工具来确定正式支持哪些软件包以及支持多长时间。


从未来更新:Nginx正在转向main,因此将获得Ubuntu安全团队的支持。如果您不确定您的版本是否可用,只需查看apt-cache show nginx并查找”Section”标记。当它在Main中时,你将获得Canonical支持。

次佳解决方法

ppa中用于精确的nginx包位于Version 1.1.17-2 uploaded on 2012-03-19

如果您需要仍处于候选且未被接受的CVE补丁,您可以考虑添加ppas

在这个特定的包和错误这里是来自the package bug tracker的一些注释。

第三种解决方法

由Canonical主动保持Ubuntu ‘main’存储库中的软件包。 (要成为默认安装的一部分,包必须位于main内。)

但是,对于”universe”中的nginx等软件包,我不希望及时进行安全更新。这是因为这些包由志愿者而不是Canonical维护。期望Canonical不断监视宇宙中存在的数万个包是不合理的。

参考资料

本文由Ubuntu问答整理, 博文地址: https://ubuntuqa.com/article/2811.html,未经允许,请勿转载。

相关文章