ubuntu-security-announce 목록을 구독하고 있습니다. 21.04에 다음과 같은 버그가 있다는 이메일을 받았습니다.
[USN-4929-1] 바인드 취약점 [USN-4913-2] 밑줄 취약점
그러나 시스템을 20.10에서 21.04(4일 전)로 업그레이드한 이후 소프트웨어 업데이터 및 패키지 업데이터를 사용하는 동안 업데이트를 전혀 받지 못했지만 전혀 업데이트를 받지 못했습니다.
여기서 저 좀 도와주실 수 있나요? 어쩌면 내 시스템에 문제가 있는 것 같습니다.
답변1
첫째로,모든 USN이 환경에 영향을 미치는 것은 아닙니다.. Microsoft Office의 취약성은 해당 버전의 Microsoft Office가 설치된 사용자에게만 영향을 미치는 것처럼 시스템에 Microsoft Office가 설치되어 있지 않은 사용자에게는 영향을 미치지 않습니다. (예, Windows 예이지만 요점은 여전히 유효합니다).
결과적으로 당신은수정 사항이 있고 사용 가능한 경우에만 OS의 보안 수정 사항에 대한 업데이트를 받습니다.. 이는 귀하가 보는 모든 USN이 귀하에게 영향을 미칠 것이라는 의미는 아닙니다. 그리고 그건특이하지 않은설치한 패키지에 대해 아직 릴리스된 업데이트가 없기 때문에 업그레이드 후 며칠 이내에 업데이트를 볼 수 없습니다. 시간을 투자하면 정기적으로 패키지 업데이트를 받기 시작할 것입니다. 업데이트가 표시되지 않는다고 해서 "안전하지 않음"을 의미하는 것은 아닙니다. 단지 아직 보안 패치를 받은 어떤 것도 실행하고 있지 않다는 의미일 뿐이므로 전혀 문제가 없습니다.
그동안 언급한 USN과 해당 USN이 적용되는 대상을 살펴보겠습니다.
USN-4929-1- BIND 취약점
ISC의 최초 취약점 릴리스: 2021년 4월 28일. Ubuntu 보안 팀의 최초 패치: 2021년 4월 29일
이는 bind9
DNS 서버 소프트웨어인 소프트웨어의 취약점을 해결합니다.
귀하의 환경에서 DNS 서버를 실행하기 위해 BIND9를 사용하지 않는 경우에는 이에 영향을 받지 않습니다. 이것이 업데이트 목록에 표시되지 않는 이유입니다. 대부분의 사람들은 자신의 개인 시스템에서 BIND9을 실행하지 않고 기업 세계의 서버 환경에서 실행하고 있으므로 이는 영향을 미치지 않을 것입니다.
USN-4913-1그리고-2: 취약점에 밑줄 표시
Ubuntu 보안 팀의 최초 패치: 2021년 4월 28일
이는 특히 패키지 및 소스 패키지의 취약점을 해결합니다 underscore
- "Javascript의 기능적 프로그래밍 도우미 라이브러리"
이 기능이 설치되어 있지 않으면 업데이트를 받을 수 없습니다.
를 사용하여 이에 대한 업데이트가 있는지 확인할 수 있습니다 dpkg -s libjs-underscore nodejs-underscore
. 해당 버전이 설치되어 있고 버전이 최소한 1.9.1-dfsg-1ubuntu0.21.04.1
이면 계속 사용할 수 있으며 아무것도 걱정할 필요가 없습니다. 그러나 이러한 항목이 설치되어 있지 않으면 영향을 받지 않습니다.
답변2
공식 소스를 참조하세요
언급된 취약점에 대한 공지 페이지는 다음과 같습니다.ubuntu.com무엇을 해야할지 보여줍니다:
시스템을 다음 패키지 버전으로 업데이트하면 문제를 해결할 수 있습니다.
libjs-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1 node-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1
일반적으로 표준 시스템 업데이트는 필요한 모든 변경을 수행합니다.
공식 소식통이 말하는 대로 수행하세요.
일반적으로 표준 시스템 업데이트를 수행합니다. 그런 다음 실제로 로컬에 설치한 문제 패키지의 버전을 확인할 수 있습니다.
dpkg -s libjs-underscore | grep Version
주의사항
이는 일반적으로 적용되지만항상 예외가 있고 개별적인 상황이 있습니다.. 따라서 원하는 신뢰 수준에 따라 추가 가능성과 의미를 조사할 수 있습니다. 예를 들어 시스템에서 취약점이 이미 악용되었을 수 있으며 맬웨어는 출력 조작 등의 다양한 수단을 통해 자신을 숨깁니다 Version
.결코 100% 확신할 수는 없습니다.하지만 가장 좋은 방법은 다음을 관찰하고 추정하는 것입니다.
- 내 시스템에 취약점이 구체화될 위험은 무엇입니까? 영향을 받는 시스템을 사용하셨나요?
- 감염을 어떻게 측정할 것인가? 비용은 얼마나 들까요?
- 시스템을 신뢰할 수 있는 시스템으로 완전히 교체하는 등의 다른 조치와 비교하면 비용이 어떻습니까?
- 등.