ฉันมีเว็บแอปพลิเคชันที่ทำงานบน Ubuntu Server 18 หนึ่งในการพึ่งพาของมันคือ Ghostscript เวอร์ชันล่าสุดที่ฉันสามารถติดตั้งผ่าน apt-get ได้คือ 9.26 แต่ฉันได้เรียนรู้ว่าเวอร์ชันนี้มีปัญหาด้านความปลอดภัย
สิ่งที่ฉันกำลังมองหาคือวิธีการตรวจจับโดยอัตโนมัติเมื่อมีการยก CVE เทียบกับแพ็คเกจ ฉันคิดว่าฉันสามารถตรวจสอบ apt-get repository ได้ แต่ทั้งหมดที่ทำได้คือบอกฉันว่ามีเวอร์ชันที่ใหม่กว่าหรือไม่ ไม่ใช่ว่ามีปัญหากับเวอร์ชันล่าสุดที่มี
มีวิธีค้นหาว่าแพ็คเกจรุ่นหนึ่งมีช่องโหว่จากบรรทัดคำสั่งหรือไม่? เช่น คำสั่งบางอย่าง หรือ API หรือไฟล์สาธารณะที่ฉันสามารถสร้างสคริปต์ได้
เวอร์ชันล่าสุดที่ฉันสามารถติดตั้งผ่าน apt-get ได้คือ 9.26 แต่ฉันได้เรียนรู้ว่าเวอร์ชันนี้มีปัญหาด้านความปลอดภัย
นั่นเป็นทั้งความจริงและอาจไม่ใช่ความจริงที่เกี่ยวข้องเสียทีเดียว
ลีนุกซ์รุ่นหลักเกือบทั้งหมดสนับสนุนการอัพเดทความปลอดภัยของพอร์ต พวกเขาให้เหตุผลสำหรับการแบ็คพอร์ตและอธิบายกระบวนการไว้ค่อนข้างดี เรดแฮท.คอม แต่จะคล้ายกับ Ubuntu (โปรดอ่านบทความทั้งหมด) สรุปก็คือ หมายเลขเวอร์ชันเก่าที่รายงานโดยซอฟต์แวร์เองนั้นไม่ได้ถือว่าไม่ปลอดภัยเลยโดยอัตโนมัติ
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ghostscript และ https://www.ghostscript.com/doc/9.55.0/News.htm
ทั้งสองแสดงปัญหาทั้งหมดที่ได้รับการแก้ไขใน Ghostscript รุ่นล่าสุด
คุณต้องอัปเดตเป็น Ghostscript 9.55 เพื่อแก้ไขทั้งหมดหรือไม่
เลขที่
https://ubuntu.com/security/notices/USN-4686-1 แสดงให้เห็นว่าช่องโหว่จำนวนมากได้รับการพอร์ตกลับและ Ubuntu 18 ไม่มีช่องโหว่ CVE ล่าสุดเลยตาม
https://ubuntu.com/security/cves?package=ghostscript
โดยทั่วไป การใช้การอัปเดตความปลอดภัยเป็นประจำ (ตราบเท่าที่ระบบของคุณรองรับ) จะทำให้คุณปลอดภัย
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
