ubuntu-security-announceリストに登録していますが、21.04には次のようなバグがあるというメールが届きます。
[USN-4929-1] バインド脆弱性 [USN-4913-2] アンダースコア脆弱性
しかし、システムを20.10から21.04にアップグレードしてから(4日前)、ソフトウェアアップデーターとパッケージアップデーターを使用している間、アップデートをまったく受信しませんでした。
助けていただけないでしょうか? おそらく私のシステムに何か問題があるのでしょう。
答え1
まず、すべてのUSNがあなたの環境に影響を与えるわけではないMicrosoft Office の脆弱性は、そのバージョンの Microsoft Office がインストールされているユーザーにのみ影響するのと同様に、システムに Microsoft Office がインストールされていないユーザーには影響しません (はい、これは Windows の例ですが、要点は変わりません)。
その結果、あなたは修正プログラムが存在し利用可能な場合にのみ、OS のセキュリティ修正のアップデートを取得します。これは、あなたが目にするすべてのUSNがあなたに影響を及ぼすという意味ではありません。珍しくないアップグレード後数日以内に更新が表示されないことがあります。これは、インストールしたパッケージの更新がまだリリースされていないためです。しばらくすると、パッケージの更新が定期的に行われるようになります。更新が表示されないからといって、「安全でない」というわけではありません。セキュリティ パッチをまだ受け取っていないものを実行しているだけであり、まったく問題ありません。
とりあえず、あなたが言及している USN とそれが何に適用されるかを見てみましょう。
USN-4929-1- BINDの脆弱性
ISC による最初の脆弱性リリース: 2021 年 4 月 28 日。 Ubuntu セキュリティ チームによる最初のパッチ適用: 2021 年 4 月 29 日
これはbind9
、DNS サーバー ソフトウェアであるソフトウェアの脆弱性に対処します。
環境内で DNS サーバーを実行するために BIND9 を使用していない場合は、この影響を受けません。そのため、これは更新リストに表示されません。ほとんどの人は、自分の個人システムで BIND9 を実行しておらず、多かれ少なかれ企業のサーバー環境で実行しているため、この影響を受ける可能性は低いでしょう。
USN-4913-1そして-2: 脆弱性を強調する
Ubuntu セキュリティ チームによる最初のパッチ適用: 2021 年 4 月 28 日
これは、パッケージとソース パッケージの脆弱性に特に対処しますunderscore
- 「Javascript の関数型プログラミング ヘルパー ライブラリ」
これをインストールしないと、更新は受けられません。
を使用して、これに対する更新プログラムがあるかどうかを確認できますdpkg -s libjs-underscore nodejs-underscore
。更新プログラムがインストールされていて、バージョンが少なくとも1.9.1-dfsg-1ubuntu0.21.04.1
であれば、何も心配する必要はありません。ただし、これらがインストールされていない場合は影響を受けません。
答え2
公式ソースを参照する
あなたが言及した脆弱性に関する発表ページubuntu.com何をすべきかを示します:
この問題は、システムを次のパッケージ バージョンに更新することで修正できます。
libjs-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1 node-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1
一般的に、標準的なシステム アップデートによって必要な変更がすべて行われます。
公式の情報に従ってください
一般的には、標準的なシステムアップデートを実行します。その後、問題のあるパッケージのどのバージョンが実際にローカルにインストールされているかを確認します。
dpkg -s libjs-underscore | grep Version
注意点
これは一般的には当てはまるが、例外や個別の状況は常に存在するしたがって、信頼の希望レベルに応じて、さらなる可能性と影響について調査する必要があるかもしれません。たとえば、システムで脆弱性がすでに悪用されており、マルウェアが出力を操作するなど、さまざまな手段で自分自身を隠している可能性がありますVersion
。100%確実とは言えないただし、ベストプラクティスとしては、次の点を観察して推定することが挙げられます。
- 私のシステムで脆弱性が顕在化するリスクはどれくらいですか? 影響を受けるシステムを使用しましたか?
- 感染をどのように測定しますか? 費用はいくらかかりますか?
- システムを完全に信頼できるものに置き換えるなどの他の対策と比較して、コストはどのくらいですか?
- 等