我在cve.mitre.org上看到 OpenLDAP (slapd) 包在2.4.57.
如果我想在我的 Debian 10 上从官方存储库安装 OpenLDAP,哪个版本是slapd/oldstable,oldstable 2.4.47+dfsg-3+deb10u6 amd64.
这些 CVE 的安全补丁是否已向后移植到此2.4.47版本,还是我必须2.6.x从官方网站获取最新版本 ( ),并从源安装它以摆脱那些 CVE?
谢谢你。
AskOverflow.Dev
通常,软件包会针对安全问题进行修补,无论其版本如何。因此,如果您看到类似“在 2.4.57 之前的 OpenLDAP 中发现了一个缺陷......”,并且您的系统上安装了 2.4.49,这并不一定(在大多数情况下:它只是不)意味着您的服务器很容易受到攻击,当然,前提是您的软件包来自官方 Debian 存储库。
您可以检查一个软件包是否在Debian 安全漏洞跟踪器上修补了特定漏洞。有检查当前易受攻击的包的链接,但您可以搜索包或 CVE ID(在页面底部),并检查某个漏洞是否已修补。
如果你想查看一个包,你应该提供源包,而不是你实际安装的包。例如, for
slapd,源包被称为openldap,所以你应该在列出漏洞时使用它。可以使用以下命令查询给定包的来源: