Existe um log de alterações de segurança para pacotes de snap da Canonical?

Com as informações de atualização do deb, você está na metade do caminho.

1. Como o LXD é distribuído rapidamente, você deve sempre executar a versão mais recente do seu canal automaticamente. Neste exemplo, o LXD 4.0.7 está no canal estável e instalado em um servidor 20.04:

   $ snap list lxd
   Name  Version  Rev    Tracking      Publisher   Notes
   lxd   4.0.7    21029  4.0/stable/…  canonical✓  -
   

2. Em seguida, vamos para https://launchpad.net/lxd/+snaps e encontremos a versão estável...

   

   ... ah. Aqui está: https://launchpad.net/~ubuntu-lxc/+snap/lxd-4.0-candidate . Você pode ver a data de compilação --que é após o CVE (bom)-- e um link para o log de compilação de cada arquitetura.

   

3. Vamos dar uma olhada mais de perto nesse log de compilação. Este snap em particular é construído, sob o capô, a partir de debs! Vamos nos concentrar no pacote deb exato usado para a compilação.

   • A URL para o buildlog é https://launchpadlibrarian.net/549848217/buildlog_snap_ubuntu_bionic_arm64_lxd-4.0-candidate_BUILDING.txt.gz . A palavra ' _bionic_' nos mostra que o snap LXD é construído a partir de pacotes 18.04 (Bionic); que está sendo executado em um sistema 20.04 não é relevante.

   • Um grep rápido nos dá o pacote dnsmasq deb real usado:Get:1 dnsmasq-base_2.79-1ubuntu0.4_amd64.deb [279 kB]

   ( Espere um segundo .... É o dnsmasq-basepacote em vez do dnsmasqpacote. Nenhum dnsmasqpacote sugere que o CVE pode ou não se aplicar depois de tudo. No entanto, vamos ignorar isso e continuar para a etapa final)

4. Por fim, vamos dar uma olhada no rastreador CVE do Ubuntu Security Team para garantir que o pacote esteja corrigido corretamente. Se o snap LXD estiver usando dnsmasqem vez de dnsmasq-base, você pode ver que a compilação usou uma versão corrigida corretamente (destacada).

   • Lembre-se que estamos procurando o pacote 18.04 (Bionic), pois foi ele que foi usado para construir o Snap.