Desde que a Canonical lançou o Ubuntu Pro este ano, eles agora estão retendo alguns patches de segurança para muitos pacotes comuns, incluindo alguns incluídos nos servidores provisionados do Laravel Forge.
Eu uso o AWS Inspector para monitorar vulnerabilidades em minhas instâncias do EC2 e, de repente, há várias vulnerabilidades de gravidade média que não podem ser corrigidas com atualizações autônomas ou mesmo com uma instalação manual. Os patches são restritos aos usuários do Ubuntu Pro como parte do serviço "ESM". Isso não é verdade apenas para instalações mais antigas - tenho várias vulnerabilidades exibidas em compilações LTS 22.04.2 e estou abordando rapidamente o SLA para resolvê-las para nosso protocolo SOC II. Isso nunca foi um problema nos últimos dois anos, tenho usado Forge + Ubuntu + AWS Inspector. Todas as vulnerabilidades sempre foram corrigidas por meio de atualizações autônomas ou a atualização/atualização ocasional do apt-get mais a reinicialização do servidor. EU' Não tenho certeza de qual é o melhor curso de ação - mas provavelmente muitos usuários corporativos do Forge começarão a sentir os efeitos disso em breve. Talvez haja outra distribuição Unix que possa ser usada, ou talvez a Forge possa fazer parceria com a Canonical para permitir o provisionamento de servidores "Pro" a um custo razoável?
Alguém mais está lidando com isso agora ou tem alguma ideia sobre a melhor forma de lidar com essa situação?
" Isso nunca foi um problema nos últimos dois anos " significa simplesmente que você estava cego para CVEs no Universo. Bem, agora você pode vê-los.
A única maneira de instalar pacotes do esm é assinar o Pro. Se é isso que o SLA exige, obviamente você tem várias opções.
Essas não são escolhas técnicas – são escolhas de modelo de negócios.
Observe também que qualquer método de auditoria que você estava usando aparentemente se mostrou ineficaz. Deveria ter revelado aqueles CVEs do Universo não corrigidos o tempo todo.