Есть ли журнал изменений безопасности для пакетов Canonical Snap?

С информацией об обновлении deb вы на полпути.

1. Поскольку LXD распространяется в виде снапа, вы всегда должны использовать последнюю версию. для вашего канала автоматически. В этом примере LXD 4.0.7 находится в стабильный канал и установлен на сервере 20.04:

   $ snap list lxd
   Название Версия Отслеживание оборотов Примечания издателя
   lxd 4.0.7 21029 4.0/стабильный/… канонический… —
   

2. Далее переходим к https://launchpad.net/lxd/+снапс и найти эту стабильную версию...

   

   ...Ага. Вот: https://launchpad.net/~ubuntu-lxc/+snap/lxd-4.0-кандидат . Вы можете увидеть дату сборки — которая стоит после CVE (хорошо) — и ссылку на журнал сборки для каждой архитектуры.

   

3. Давайте внимательнее посмотрим на этот журнал сборки. Эта конкретная оснастка построена под капотом из мусора! Давайте сосредоточимся на точном пакете deb, используемом для сборки.

   • URL-адрес журнала сборки: https://launchpadlibrarian.net/549848217/buildlog_snap_ubuntu_bionic_arm64_lxd-4.0-candidate_BUILDING.txt.gz . Слово '_бионический_' показывает нам, что снимок LXD построен из пакетов 18.04 (Bionic); то, что он работает в системе 20.04, не имеет значения.

   • Быстрый grep дает нам реальный используемый deb-пакет dnsmasq: Получить: 1 dnsmasq-base_2.79-1ubuntu0.4_amd64.deb [279 КБ]

   (Подожди секунду....Это dnsmasq-база пакет вместо dnsmasq упаковка. Нет dnsmasq package предполагает, что CVE может применяться, а может и не применяться. Однако давайте забудем об этом и продолжим последний шаг)

4. Наконец, давайте посмотрим на Трекер CVE команды безопасности Ubuntu чтобы убедиться, что пакет правильно закреплен. Использовались ли снимки LXD? dnsmasq вместо dnsmasq-база, вы можете видеть, что в сборке использовалась правильно пропатченная версия (выделено).

   • Помните, что мы ищем пакет 18.04 (Bionic), поскольку именно он использовался для создания Snap.