Wie kann ich feststellen, ob ein CVE in Ubuntus Repositorys behoben wurde?

Heute wurden einige Pufferüberläufe in NTP 1 , 2 angekündigt . Es sieht so aus, als wäre ein Update meines Systems zur Behebung dieser Probleme angebracht.

Wie kann ich herausfinden, ob sie in den Ubuntu-Repositories behoben wurden, so dass, wenn ich sie ausführen würde:

sudo apt-get update
sudo apt-get upgrade

dann würde das Update installiert und die Sicherheitslücke geschlossen werden?

Bearbeiten: Die ausgewählte Antwort befasst sich speziell mit der Frage, wie festgestellt werden kann, ob ein bestimmtes CVE behoben wurde oder nicht. 3 ist sicherlich verwandt, aber nicht identisch

Was Sie suchen, sind Ubuntu-Sicherheitsbenachrichtigungen, die in den Repositorys nicht eindeutig aufgelistet sind. Diese Seite ist die Hauptliste der Ubuntu-Sicherheitsbenachrichtigungen.

Bei einzelnen Paketen befinden sich Aktualisierungen, die Sicherheitsupdates betreffen, in ihrem eigenen speziellen Repository, der -securityTasche. Mit Synaptic können Sie zur Ansicht "Origin" wechseln und Pakete in der RELEASE-securityTasche sehen.

Alle CVEs werden auch im CVE-Tracker des Ubuntu-Sicherheitsteams aufgelistet - mit Ihrem speziell hier angegebenen CVE . Im Fall von CVE-2014-9295, auf das Sie hier verweisen, wurde dies noch nicht behoben.

Sobald ein Update verfügbar ist, wird es erkannt, sudo apt-get update; sudo apt-get upgradesobald es im Sicherheitsrepository veröffentlicht wird.

Obwohl die akzeptierte Antwort korrekt ist, kann ich diese Informationen häufig anhand des Änderungsprotokolls eines Pakets herausfinden. Dies ist einfacher als das Durchsuchen der CVE-Tracker oder der Liste der Sicherheitsbenachrichtigungen. Beispielsweise:

sudo apt-get update
apt-get changelog ntp

Die Ausgabe des obigen Befehls enthält:

...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium

  * SECURITY UPDATE: weak default key in config_auth()
    - debian/patches/CVE-2014-9293.patch: use openssl for random key in
      ntpd/ntp_config.c, ntpd/ntpd.c.
    - CVE-2014-9293
  * SECURITY UPDATE: non-cryptographic random number generator with weak
    seed used by ntp-keygen to generate symmetric keys
    - debian/patches/CVE-2014-9294.patch: use openssl for random key in
      include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
    - CVE-2014-9294
  * SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
    - debian/patches/CVE-2014-9295.patch: check lengths in
      ntpd/ntp_control.c, ntpd/ntp_crypto.c.
    - CVE-2014-9295
  * SECURITY UPDATE: missing return on error in receive()
    - debian/patches/CVE-2015-9296.patch: add missing return in
      ntpd/ntp_proto.c.
    - CVE-2014-9296

 -- Marc Deslauriers <[email protected]>  Sat, 20 Dec 2014 05:47:10 -0500
...

Dies zeigt deutlich, dass die von Ihnen erwähnten Fehler in den Ubuntu-Repositories behoben wurden. Sie können dann ausführen:

sudo apt-get upgrade

das Update herunterziehen.

Ich denke, Sie sprechen über das Änderungsprotokoll eines Pakets zu überprüfen? Um zu sehen, was es Neues gibt, große Fehlerbehebungen usw.? Synaptichat eine einfache Möglichkeit, Changelogs zu testen und herunterzuladen.

Wenn das Änderungsprotokoll nicht verfügbar oder zu kurz ist, ist es möglicherweise am besten, die verfügbare Version zu notieren, die Entwickler-Website aufzurufen und hoffentlich detailliertere Änderungen zu sehen.

Wenn Sie diese Befehle ausführen, erhalten Sie alle Korrekturen , die sich in den Repositorys befinden - aber möglicherweise noch nicht. Wenn Sie Update Notifier aktiviert haben (ein Tray-Widget), erhalten Sie eine Benachrichtigung, sobald System- oder Sicherheitsupdates vorliegen (und Sicherheitsupdates werden als solche gekennzeichnet). Dann bekommst du die Patches, sobald sie für Ubuntu verfügbar sind, ohne dich darum kümmern zu müssen.