Рейтинг:0

Переносятся ли исправления безопасности пакетов на более раннюю версию?

флаг in

я вижу на cve.mitre.org что пакет OpenLDAP (slapd) имел множество уязвимостей до 2.4.57.

Если я хочу установить OpenLDAP из официальных репозиториев на свой Debian 10, какая версия slapd/oldstable, oldstable 2.4.47+dfsg-3+deb10u6 amd64.

Перенесены ли исправления безопасности для тех CVE обратно на этот 2.4.47 версия, или мне нужно брать последнюю версию (2.6.х) с официального сайта и установить его из исходного кода, чтобы избавиться от этих CVE?

Спасибо.

Рейтинг:0
флаг in

Обычно пакеты исправляются против проблем с безопасностью, независимо от их версии. Поэтому, если вы видите что-то вроде «В OpenLDAP была обнаружена уязвимость до версии 2.4.57...», и в вашей системе установлена ​​версия 2.4.49, это не обязательно (в большинстве случаев: просто не означает) означает ваш сервер уязвим, если, конечно, ваш пакет взят из официального репозитория Debian.

Вы можете проверить, исправлена ​​ли в пакете определенная уязвимость на Средство отслеживания ошибок безопасности Debian. Есть ссылки для проверки уязвимых на данный момент пакетов, но вы можете найти пакет или CVE ID (внизу страницы) и проверить, исправлена ​​ли определенная уязвимость или нет.

Если вы хотите увидеть пакет, вы должны предоставить источник пакет, а не тот, который вы устанавливаете. Например, для slapd, исходный пакет называется openldap, поэтому вы должны использовать это при перечислении уязвимостей. Источник данного пакета можно запросить с помощью следующей команды:

apt-cache показать (пакет) | Источник:
флаг in
Большое спасибо, сэр.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.