我訂閱了 ubuntu-security-announce 清單 我收到一些電子郵件,提到 21.04 有一些錯誤,例如
[USN-4929-1] 結合漏洞 [USN-4913-2] 底線漏洞
但是,自從我將系統從 20.10 升級到 21.04(4 天前)後,我在使用軟體更新程式和 pakcage 更新程式時從未收到任何更新,但根本沒有收到任何更新
你能幫我一下嗎?也許我的系統有問題。
答案1
首先,並非所有 USN 都會影響您的環境。就像 Microsoft Office 中的漏洞僅影響安裝了該版本 Microsoft Office 的使用者一樣,它不會影響系統上未安裝 Microsoft Office 的使用者。 (是的,一個 Windows 範例,但這一點仍然成立)。
結果,你是只有當存在且可用的修復程式時,才會取得作業系統中安全性修復程式的更新。這並不意味著您看到的每個 USN 都會影響您。它是常見的升級後幾天內看不到更新,因為您已安裝的軟體包尚未發布。給它一些時間,您將開始定期獲得軟體包更新。僅僅因為您沒有看到更新並不意味著您“不安全” - 它只是意味著您沒有運行任何已收到安全補丁的程序,這完全沒問題。
在此期間,讓我們看看您所指的 USN 及其適用範圍。
USN-4929-1- 綁定漏洞
ISC 首次發布漏洞:2021 年 4 月 28 日。 Ubuntu 安全團隊首次修補:2021 年 4 月 29 日
bind9
這解決了軟體(即 DNS 伺服器軟體)中的漏洞。
如果您沒有使用 BIND9 在您的環境中執行 DNS 伺服器,則不會受此影響。這就是為什麼它不會顯示在您的更新清單中的原因。大多數人不會在自己的個人系統上運行 BIND9,而是或多或少在企業界的伺服器環境中運行,因此這可能不會影響您。
USN-4913-1和-2:強調漏洞
Ubuntu 安全團隊首次修補:2021 年 4 月 28 日
這專門解決了包和源包中的漏洞underscore
- “Javascript 的函數式程式設計幫助程式庫”
如果您沒有安裝此軟體,您將不會獲得其更新。
您可以使用 來驗證您是否有這方面的更新dpkg -s libjs-underscore nodejs-underscore
。如果你已經安裝了它們並且版本至少是1.9.1-dfsg-1ubuntu0.21.04.1
那麼你就可以開始了,你不必擔心任何事情。但是,如果您沒有安裝這些,則不會受到影響。
答案2
查閱官方消息來源
您提到的漏洞的公告頁面位於ubuntu.com顯示要做什麼:
可以透過將系統更新到以下軟體包版本來修正該問題:
libjs-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1 node-underscore - 1.9.1~dfsg-1ubuntu0.21.04.1
一般來說,標準系統更新將進行所有必要的變更。
按照官方消息來源告訴你的去做
一般來說,進行標準系統更新。之後,您可以檢查您實際在本地安裝的有問題的軟體包的版本,例如
dpkg -s libjs-underscore | grep Version
注意事項
這在一般情況下是成立的,但是總有例外和個別情況。因此,根據您所需的信任級別,您可能需要調查進一步的可能性和影響。例如,該漏洞可能已在您的系統上被利用,並且惡意軟體透過各種方式隱藏自身,例如操縱輸出Version
。你永遠無法100%確定,但最佳實踐是觀察和估計:
- 該漏洞在我的系統上出現的風險是什麼?您是否使用過受影響的系統?
- 您將如何衡量感染情況?這要多少錢?
- 與其他措施(例如用可信任系統完全替換系統)相比,成本如何?
- ETC。