estou inscrito na lista ubuntu-security-announce, recebo alguns e-mails mencionando que 21.04 tem alguns bugs como
[USN-4929-1] Vulnerabilidades de vinculação [USN-4913-2] Vulnerabilidade de sublinhado
no entanto, desde que atualizei meu sistema de 20.10 para 21.04 (4 dias atrás), nunca recebi nenhuma atualização enquanto estava usando o atualizador de software e o atualizador pakcage, mas não recebi nenhuma atualização
você poderia me ajudar aqui? talvez haja algo errado com meu sistema.
Responder1
Primeiramente,nem todos os USNs afetarão seu meio ambiente. Assim como uma vulnerabilidade no Microsoft Office afeta apenas pessoas com essa versão do Microsoft Office instalada, ela não afetará pessoas que não tenham o Microsoft Office instalado em seus sistemas. (sim, um exemplo do Windows, mas a questão permanece).
Como resultado, você estásó receberei atualizações para correções de segurança em seu sistema operacional se houver correções presentes e disponíveis. Isso NÃO significa que cada USN que você vê irá afetá-lo. E isso énão é incomumpara não ver atualizações dentro de alguns dias após a atualização, porque nenhuma foi lançada ainda para os pacotes que você instalou. Dê um tempo, você começará a receber atualizações de pacotes regularmente. Só porque você não vê atualizações não significa que você "não está seguro" - significa apenas que você ainda não está executando nada que tenha recebido um patch de segurança, o que é perfeitamente normal.
Enquanto isso, vamos dar uma olhada nos USNs aos quais você está se referindo e a que eles se aplicam.
USN-4929-1- Vulnerabilidades BIND
Lançamento inicial da vulnerabilidade pelo ISC: 28 de abril de 2021. Patch inicial pela equipe de segurança do Ubuntu: 29 de abril de 2021
Isso aborda vulnerabilidades no bind9
software - que é o software do servidor DNS.
Se você não estiver usando o BIND9 para executar servidores DNS em seus ambientes, você não será afetado por isso. É por isso que isso não aparecerá na sua lista de atualizações. A maioria das pessoas não executa o BIND9 em seus próprios sistemas pessoais e o faz mais ou menos em um ambiente de servidor no mundo corporativo, portanto, isso provavelmente não afetará você.
USN-4913-1e-2: Vulnerabilidades de sublinhado
Patch inicial pela equipe de segurança do Ubuntu: 28 de abril de 2021
Isso aborda vulnerabilidades especificamente no pacote e no pacote fonte underscore
- "biblioteca auxiliar de programação funcional do Javascript"
Se você não tiver isso instalado, não receberá atualizações para ele.
Você pode validar se possui atualizações para isso usando dpkg -s libjs-underscore nodejs-underscore
. Se você os tiver instalados e as versões forem pelo menos, 1.9.1-dfsg-1ubuntu0.21.04.1
você estará pronto e não precisará se preocupar com nada. No entanto, se você não os tiver instalado, não será afetado.
Responder2
Consulte fontes oficiais
A página de anúncio da vulnerabilidade mencionada emubuntu.commostra o que fazer:
O problema pode ser corrigido atualizando seu sistema para as seguintes versões de pacote:
libjs-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1 node-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1
Em geral, uma atualização padrão do sistema fará todas as alterações necessárias.
Faça o que as fontes oficiais lhe dizem
Em geral, faça uma atualização padrão do sistema. Depois você poderá verificar qual versão dos pacotes ofensivos você realmente instalou localmente, por exemplo, com
dpkg -s libjs-underscore | grep Version
Ressalvas
Isto é válido em geral, massempre há exceções e situações individuais. Portanto, dependendo do nível de confiança desejado, você pode querer investigar outras possibilidades e implicações. Por exemplo, a vulnerabilidade pode já ter sido explorada no seu sistema e o malware se esconde por vários meios, por exemplo, manipulando a Version
saída.Você nunca pode ter 100% de certeza, mas a melhor prática seria observar e estimar:
- Qual é o risco da vulnerabilidade se materializar no meu sistema? Você usou os sistemas afetados?
- Como você mediria a infecção? Quanto isso vai custar?
- Como o custo se compara a outras medidas, por exemplo, substituir completamente o sistema por um confiável?
- etc.