Как я могу надежно обнаружить CVE, относящиеся к установленным пакетам?

Question

Как я могу надежно обнаружить CVE, относящиеся к установленным пакетам?

У меня есть веб-приложение, работающее на Ubuntu Server 18. Одной из его зависимостей является Ghostscript. Последняя версия, которую я могу установить через apt-get, — 9.26, но я узнал, что в этой версии есть проблемы с безопасностью.

Я ищу способ автоматического определения момента возникновения CVE против пакета. Я думал, что могу просто проверить репозиторий apt-get, но все, что он может сделать, это сообщить мне, есть ли у него более новая версия, а не есть ли проблема с последней версией, которая у него есть.

Есть ли способ узнать, есть ли в версии пакета уязвимости из командной строки? т.е. какая-то команда, общедоступный API или файл, на основе которого я могу создать сценарий?

0

ubuntu security apt cve

Источник

griswoldbar 03 фев '22 в 16:16

3 ответа

Другие вопросы по тегам ubuntu security apt cve

HermanB 03 фев '22 в 22:35 2022-02-03 22:35 · Answer 1 · 2022-02-03 22:35

Последняя версия, которую я могу установить через apt-get, — 9.26, но я узнал, что в этой версии есть проблемы с безопасностью.

Это и правда, и, возможно, не совсем актуальная истина.

Почти все основные дистрибутивы Linux поддерживают обновления безопасности. Они объясняют необходимость резервного копирования, и этот процесс довольно хорошо описан на RedHat.com , но он аналогичен для Ubuntu. (Пожалуйста, прочитайте эту статью целиком.) Суть в том, что более старый номер версии, сообщаемый самим программным обеспечением, вообще не означает автоматически небезопасность.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ghostscript и https://www.ghostscript.com/doc/9.55.0/News.htm

Оба демонстрируют целый ряд проблем, исправленных в последней версии Ghostscript.

Вам нужно обновить Ghostscript 9.55, чтобы исправить все это?

Нет.

https://ubuntu.com/security/notices/USN-4686-1 показывает, что многие уязвимости были портированы обратно, а Ubuntu 18 вообще не уязвима для самой последней CVE, согласно данным

https://ubuntu.com/security/cves?package=ghostscript

В целом, регулярное применение обновлений безопасности (пока поддерживается ваш дистрибутив) обеспечит вашу безопасность.

AlexD 03 фев '22 в 16:25 2022-02-03 16:25 · Answer 2 · 2022-02-03 16:25

Вам нужен дебсекан .

debsecan анализирует список установленных пакетов на текущем хосте и сообщает об уязвимостях, обнаруженных в системе.

2

Источник

AlexD 03 фев '22 в 16:25

Mimmo 15 сен '23 в 13:12 2023-09-15 13:12 · Answer 3 · 2023-09-15 13:12

Я успешно использую Vuls на множестве платформ *nix.

0

Источник

Mimmo 15 сен '23 в 13:12