我有一个在 Ubuntu Server 18 上运行的 Web 应用程序。它的依赖项之一是 Ghostscript。我能够通过 apt-get 安装的最新版本是 9.26,但我了解到这个版本存在安全问题。
我正在寻找的是一种自动检测何时针对包提出 CVE 的方法。我原以为我可以简单地检查 apt-get 存储库,但它所能做的就是告诉我它是否有更新的版本,而不是它的最新版本是否有问题。
是否有某种方法可以从命令行发现某个包的版本是否存在漏洞?即一些命令,或者我可以构建脚本的公共 API 或文件?
AskOverflow.Dev
这既是事实,也可能不是完全相关的事实。
几乎所有主要的 Linux 发行版都支持端口安全更新。他们向后移植的原因和过程在RedHat.com上有很好的描述,但对于 Ubuntu 也是类似的。(请阅读整篇文章。)简而言之,软件本身报告的旧版本号并不自动等同于不安全。
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ghostscript 和https://www.ghostscript.com/doc/9.55.0/News.htm
两者都显示了在最新的 Ghostscript 版本中修复的一系列问题。
您是否需要更新到 Ghostscript 9.55 来修复所有这些问题?
不。
https://ubuntu.com/security/notices/USN-4686-1显示许多漏洞已被反向移植,并且 Ubuntu 18 根本不会受到最新 CVE 的攻击。
https://ubuntu.com/security/cves?package=ghostscript
一般来说,定期应用安全更新(只要您的发行版受支持)将确保您的安全。
你需要debsecan。