Score:0

ฉันจะค้นพบ CVE ที่เกี่ยวข้องกับแพ็คเกจที่ติดตั้งอย่างน่าเชื่อถือได้อย่างไร

ธง kw

ฉันมีเว็บแอปพลิเคชันที่ทำงานบน Ubuntu Server 18 หนึ่งในการพึ่งพาของมันคือ Ghostscript เวอร์ชันล่าสุดที่ฉันสามารถติดตั้งผ่าน apt-get ได้คือ 9.26 แต่ฉันได้เรียนรู้ว่าเวอร์ชันนี้มีปัญหาด้านความปลอดภัย

สิ่งที่ฉันกำลังมองหาคือวิธีการตรวจจับโดยอัตโนมัติเมื่อมีการยก CVE เทียบกับแพ็คเกจ ฉันคิดว่าฉันสามารถตรวจสอบ apt-get repository ได้ แต่ทั้งหมดที่ทำได้คือบอกฉันว่ามีเวอร์ชันที่ใหม่กว่าหรือไม่ ไม่ใช่ว่ามีปัญหากับเวอร์ชันล่าสุดที่มี

มีวิธีค้นหาว่าแพ็คเกจรุ่นหนึ่งมีช่องโหว่จากบรรทัดคำสั่งหรือไม่? เช่น คำสั่งบางอย่าง หรือ API หรือไฟล์สาธารณะที่ฉันสามารถสร้างสคริปต์ได้

Score:2
ธง cn
Bob

เวอร์ชันล่าสุดที่ฉันสามารถติดตั้งผ่าน apt-get ได้คือ 9.26 แต่ฉันได้เรียนรู้ว่าเวอร์ชันนี้มีปัญหาด้านความปลอดภัย

นั่นเป็นทั้งความจริงและอาจไม่ใช่ความจริงที่เกี่ยวข้องเสียทีเดียว

ลีนุกซ์รุ่นหลักเกือบทั้งหมดสนับสนุนการอัพเดทความปลอดภัยของพอร์ต พวกเขาให้เหตุผลสำหรับการแบ็คพอร์ตและอธิบายกระบวนการไว้ค่อนข้างดี เรดแฮท.คอม แต่จะคล้ายกับ Ubuntu (โปรดอ่านบทความทั้งหมด) สรุปก็คือ หมายเลขเวอร์ชันเก่าที่รายงานโดยซอฟต์แวร์เองนั้นไม่ได้ถือว่าไม่ปลอดภัยเลยโดยอัตโนมัติ

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ghostscript และ https://www.ghostscript.com/doc/9.55.0/News.htm

ทั้งสองแสดงปัญหาทั้งหมดที่ได้รับการแก้ไขใน Ghostscript รุ่นล่าสุด

คุณต้องอัปเดตเป็น Ghostscript 9.55 เพื่อแก้ไขทั้งหมดหรือไม่

เลขที่

https://ubuntu.com/security/notices/USN-4686-1 แสดงให้เห็นว่าช่องโหว่จำนวนมากได้รับการพอร์ตกลับและ Ubuntu 18 ไม่มีช่องโหว่ CVE ล่าสุดเลยตาม

https://ubuntu.com/security/cves?package=ghostscript

โดยทั่วไป การใช้การอัปเดตความปลอดภัยเป็นประจำ (ตราบเท่าที่ระบบของคุณรองรับ) จะทำให้คุณปลอดภัย

kw flag
แม้ว่าจะไม่ใช่สิ่งที่ฉันถาม แต่ฉันทำเครื่องหมายว่านี่เป็นคำตอบที่ถูกต้องเพราะมันช่วยแก้ปัญหาของฉันและทำให้ฉันรู้ว่าฉันถามคำถามผิด :)
Score:1
ธง jp

คุณต้องการ เดบซีแคน.

debsecan วิเคราะห์รายการแพ็คเกจที่ติดตั้งบนโฮสต์ปัจจุบันและรายงานช่องโหว่ที่พบในระบบ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา