bin bei ubuntu-security-announce angemeldet und erhalte einige E-Mails, in denen erwähnt wird, dass 21.04 einige Fehler enthält, wie
[USN-4929-1] Bind-Schwachstellen [USN-4913-2] Underscore-Schwachstelle
seit ich mein System von 20.10 auf 21.04 aktualisiert habe (vor 4 Tagen), habe ich jedoch kein Update mehr erhalten, obwohl ich den Software-Updater und den Paket-Updater verwende, aber überhaupt kein Update erhalten habe
können Sie mir hier bitte helfen? Vielleicht stimmt etwas mit meinem System nicht.
Antwort1
Zuerst,nicht alle USNs werden Ihre Umgebung beeinflussen. Genauso wie eine Sicherheitslücke in Microsoft Office nur Personen betrifft, die diese Version von Microsoft Office installiert haben, betrifft sie auch keine Personen, auf deren Systemen Microsoft Office nicht installiert ist. (Ja, das ist ein Windows-Beispiel, aber der Punkt bleibt bestehen.)
Als Ergebnis sind SieSie erhalten nur dann Updates für Sicherheitsfixes in Ihrem Betriebssystem, wenn Fixes vorhanden und verfügbar sind. Das bedeutet NICHT, dass jede USN, die Sie sehen, Sie betreffen wird. Und es istnicht ungewöhnlichinnerhalb weniger Tage nach dem Upgrade keine Updates zu sehen, weil für die von Ihnen installierten Pakete noch keine veröffentlicht wurden. Geben Sie sich etwas Zeit, dann werden Sie regelmäßig Paketupdates erhalten. Nur weil Sie keine Updates sehen, heißt das nicht, dass Sie „nicht sicher“ sind – es bedeutet nur, dass Sie nichts ausführen, das bereits einen Sicherheitspatch erhalten hat, was völlig in Ordnung ist.
Schauen wir uns in der Zwischenzeit die USNs an, auf die Sie sich beziehen, und wofür sie sich gelten.
USN-4929-1- BIND-Schwachstellen
Erste Veröffentlichung der Sicherheitslücke durch ISC: 28. April 2021. Erstes Patchen durch das Ubuntu Security Team: 29. April 2021
Dadurch werden Schwachstellen in der bind9
Software behoben, bei der es sich um eine DNS-Serversoftware handelt.
Wenn Sie BIND9 nicht zum Ausführen von DNS-Servern in Ihren Umgebungen verwenden, sind Sie hiervon nicht betroffen. Aus diesem Grund wird dies nicht in Ihrer Updateliste angezeigt. Die meisten Leute verwenden BIND9 nicht auf ihren eigenen persönlichen Systemen, sondern mehr oder weniger in einer Serverumgebung in der Unternehmenswelt. Daher wird dies Sie wahrscheinlich nicht betreffen.
USN-4913-1Und-2: Schwachstellen hervorheben
Erstes Patchen durch das Ubuntu Security Team: 28. April 2021
Dies behebt Schwachstellen speziell im Paket und im Quellpaket underscore
- „Javascripts funktionale Programmierhilfsbibliothek“
Wenn Sie dies nicht installiert haben, erhalten Sie keine Updates dafür.
Mithilfe von können Sie überprüfen, ob Sie Updates hierfür haben dpkg -s libjs-underscore nodejs-underscore
. Wenn Sie diese installiert haben und die Versionen mindestens sind, 1.9.1-dfsg-1ubuntu0.21.04.1
können Sie loslegen und müssen sich um nichts kümmern. Wenn Sie diese jedoch nicht installiert haben, sind Sie nicht betroffen.
Antwort2
Konsultieren Sie offizielle Quellen
Die Ankündigungsseite zu Ihrer angesprochenen Sicherheitslücke unterubuntu.comzeigt was zu tun ist:
Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:
libjs-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1 node-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1
Im Allgemeinen werden durch ein Standard-Systemupdate alle erforderlichen Änderungen vorgenommen.
Tun Sie, was offizielle Quellen Ihnen sagen
Führen Sie im Allgemeinen ein Standard-Systemupdate durch. Anschließend können Sie überprüfen, welche Version der fehlerhaften Pakete Sie tatsächlich lokal installiert haben, z. B. mit
dpkg -s libjs-underscore | grep Version
Vorbehalte
Dies gilt im Allgemeinen, aberes gibt immer Ausnahmen und individuelle Situationen. Abhängig von Ihrem gewünschten Vertrauensniveau sollten Sie daher weitere Möglichkeiten und Auswirkungen untersuchen. Beispielsweise könnte die Schwachstelle auf Ihrem System bereits ausgenutzt worden sein und die Malware versteckt sich auf verschiedene Weise, z. B. durch Manipulation der Version
Ausgabe.Man kann nie 100% sicher sein, aber die beste Vorgehensweise wäre, Folgendes zu beobachten und abzuschätzen:
- Wie hoch ist das Risiko, dass die Sicherheitslücke auf meinem System auftritt? Haben Sie die betroffenen Systeme verwendet?
- Wie würden Sie die Infektion messen? Wie viel wird das kosten?
- Wie hoch sind die Kosten im Vergleich zu anderen Maßnahmen, z. B. dem vollständigen Austausch des Systems durch ein bewährtes?
- usw.