Как я могу надежно обнаружить CVE, относящиеся к установленным пакетам

griswoldbar

03.06.2023, 16:16

У меня есть веб-приложение, работающее на Ubuntu Server 18. Одной из его зависимостей является Ghostscript. Последняя версия, которую я могу установить через apt-get, — 9.26, но я узнал, что в этой версии есть проблема с безопасностью.

То, что я ищу, - это способ автоматического обнаружения, когда CVE поднимается против пакета. Я думал, что могу просто проверить репозиторий apt-get, но все, что он может сделать, это сказать мне, есть ли у него более новая версия, а не есть ли проблема с последней версией, которая у него есть.

Есть ли способ узнать, есть ли в версии пакета уязвимости из командной строки? то есть какая-то команда, общедоступный API или файл, вокруг которого я могу построить скрипт?

0 + 0

убунту

совместное использование экрана

подходящий

Cve

Рейтинг:2

Server

Bob

03.06.2023, 22:35

Последняя версия, которую я могу установить через apt-get, — 9.26, но я узнал, что в этой версии есть проблема с безопасностью.

Это и правда, и, возможно, не совсем актуальная истина.

Почти все основные дистрибутивы Linux поддерживают обновления безопасности портов. Это причины для резервного копирования, и этот процесс довольно хорошо описан на RedHat.com но аналогично для Ubuntu. (Пожалуйста, прочтите эту статью целиком.) Суть в том, что более старый номер версии, о котором сообщает само программное обеспечение, автоматически не приравнивается к небезопасному.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ghostscript И https://www.ghostscript.com/doc/9.55.0/News.htm

Оба показывают целый ряд проблем, исправленных в последнем выпуске Ghostscript.

Вам нужно обновиться до Ghostscript 9.55, чтобы исправить все это?

Нет.

https://ubuntu.com/security/notices/USN-4686-1 показывает, что многие уязвимости были перенесены обратно, а Ubuntu 18 вообще не уязвима для самой последней CVE.

https://ubuntu.com/security/cves?package=ghostscript

В целом регулярное применение обновлений безопасности (пока поддерживается ваш дистрибутив) обеспечит вашу безопасность.

0 + 0

griswoldbar

07.06.2023, 14:08

Хотя это было не совсем то, о чем я спрашивал, я отмечаю это как правильный ответ, поскольку он решил мою проблему и заставил меня понять, что я задавал неправильный вопрос :)

Ответить

Рейтинг:1

Server

AlexD

03.06.2023, 16:25

Тебе нужно дебсекан.

debsecan анализирует список установленных пакетов на текущем хосте и сообщает об обнаруженных в системе уязвимостях.

0 + 0

Admin

Этот вопрос на других языках:

EN: How can I reliably discover CVEs relating to installed packages

TH: ฉันจะค้นพบ CVE ที่เกี่ยวข้องกับแพ็คเกจที่ติดตั้งอย่างน่าเชื่อถือได้อย่างไร

RO: Cum pot descoperi în mod fiabil CVE-urile legate de pachetele instalate

RU: Как я могу надежно обнаружить CVE, относящиеся к установленным пакетам

VI: Làm cách nào tôi có thể khám phá các CVE liên quan đến các gói đã cài đặt một cách đáng tin cậy

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.