No meu entender, correções de bugs e vulnerabilidades são lançadas separadamente em -updates e -security. 1 patch corrige CVE(s) para 1 pacote (sem patches cumulativos como no Windows). Existe um patch para cada versão do Ubuntu por pacote (correção na versão atual por motivos de estabilidade).
Aqui estão minhas perguntas:
quando os espelhos -security e -updates são mesclados. Na próxima versão do Ubuntu?
se um CVE for encontrado e corrigido na versão N do pacote. A versão N+1 do pacote inclui a correção?
se um pacote de segurança for lançado para o Ubuntu 18/04 e não houver menção ao ubuntu 20.04 na página USN, a correção está incluída no Ubuntu 20.04 ou o antigo CVE não é aplicável?
Neste exemplo: https://ubuntu.com/security/notices/USN-3876-1
A versão mais recente do patch mencionado no USN é para Ubuntu 18.04 e denominada avahi-daemon-0.7-4ubuntu2.1.
Minha versão instalada no Ubuntu 20.04 é mais recente: 0.7-4ubuntu7.2. Inclui o patch de segurança para CVE-2017-6519 mesmo que a versão do Ubuntu não seja a mesma?
Quando um USN é postado, isso significa que uma atualização para todas as versões afetadas foi lançada no repositório em ambos -security e -updates pocket para as versões afetadas e, provavelmente, para todas as versões posteriores, especialmente se for corrigido pelos desenvolvedores upstream para um determinado pacote de origem.
É aqui que você deve olhar a própria página do CVE para um determinado CVE para realmente começar a dissecar isso, e também entender um pouco como as versões dos pacotes do Ubuntu são determinadas, entre outras coisas. Esta é a página do rastreador CVE do CVE que você referenciou (CVE-2017-6519) .
Quando uma atualização de segurança é enviada, ela chega aos bolsos -security e -updates. Isso é feito para garantir que todas as pessoas recebam o patch de segurança.
No entanto, você deve fazer comparações de versões dos pacotes instalados com as versões afetadas/corrigidas.
Esta é a captura de tela desta página agora:
Podemos ver que a primeira versão do Ubuntu a receber essa correção foi a
0.7-3.1ubuntu1.2, que foi introduzida no Bionic.Em seguida, nos referimos às versões em seu sistema -
0.7-4ubuntu7.2. Esta é a mesma base de código0.7-3.1ubuntu1.2do Avahi 0.7, mas com revisões e patches adicionais de pacotes.Como essas são a mesma versão base de código, mas diferentes revisões de pacote posteriores à versão de "correção lançada", você já está corrigido para este CVE. É por isso que as versões posteriores não aparecem na tabela e você não precisa se preocupar. Versões posteriores do Avahi provavelmente também foram corrigidas e corrigidas para este CVE.
Na verdade, Avahi corrigiu isso na versão 0.8 do Upstream. Sabemos disso pelas tags do github e notas de lançamento - https://github.com/lathiat/avahi/releases/tag/v0.8
Como tal, o CVE precisa ser atualizado para refletir a versão do patch Upstream para marcá-la como lançada/corrigida. No entanto, sua base de código é 0.7, portanto, a versão do pacote em sua versão do Focal é construída a partir desse pacote com alterações adicionais no pacote para obter a
-4ubuntu*string de versão do pacote.Podemos ver todas as versões do Avahi disponíveis olhando sua página no Launchpad para ver quais versões suportadas existem e quais versões cada versão possui:
A equipe de segurança, uma vez publicada uma correção, não é obrigada a voltar e atualizar o rastreador para as versões de patch do upstream, embora às vezes façam isso, nem sempre é atualizado (neste caso, pedi à equipe de segurança para atualizar a página do CVE ).
Como esse patch de segurança foi corrigido na versão 0.8 do Avahi, você notará que todas as versões posteriores do Ubuntu estão usando a versão 0.8 e, como tal, já têm esse patch incluído (e não corrigido pela distribuição nos repositórios -security para essas versões posteriores, mas incluído como parte do código base do Avahi).