让我们以CVE-2021-3448为例。
很容易看出 deb 包何时得到了向后移植的修复,以及服务器上安装了哪些包。
但同样的包装很快:
/snap/lxd/21468/bin/dnsmasq --version
Dnsmasq version 2.80 .....
snap list
lxd 4.18 21468 latest/stable/… canonical✓ -
您是否知道是否有办法查看 CVE 是否在lxd某个地方的 Canonical snap 中向后移植到 2.80?
也许我错过了一些非常简单的方法来获取这些信息。
有了 deb 更新信息,您就成功了一半。
由于 LXD 是作为快照分发的,因此您应该始终自动为您的频道运行最新版本。在这个例子中,LXD 4.0.7 是在stable频道中,并且安装在一个 20.04 的服务器上:
接下来,让我们前往https://launchpad.net/lxd/+snaps并找到稳定版本...
……啊哈。这是:https ://launchpad.net/~ubuntu-lxc/+snap/lxd-4.0-candidate 。您可以看到构建日期——在 CVE(良好)之后——以及每个架构的构建日志的链接。
让我们仔细看看那个构建日志。这个特殊的快照是在引擎盖下由 debs 构建的!让我们归零用于构建的确切 deb 包。
构建日志的 URL 是https://launchpadlibrarian.net/549848217/buildlog_snap_ubuntu_bionic_arm64_lxd-4.0-candidate_BUILDING.txt.gz。里面的“ ”字
_bionic_告诉我们 LXD snap 是由 18.04 (Bionic) 包构建的;它在 20.04 系统上运行是不相关的。快速 grep 为我们提供了实际使用的 dnsmasq deb 包:
Get:1 dnsmasq-base_2.79-1ubuntu0.4_amd64.deb [279 kB](等一下......这是
dnsmasq-base包而不是dnsmasq包。没有dnsmasq包表明 CVE 可能或可能不适用。但是,让我们忽略这一点并继续进行最后一步)最后,让我们看一下Ubuntu 安全团队 CVE 跟踪器,以确保该软件包已正确修复。如果 LXD snap 使用
dnsmasq而不是dnsmasq-base,您可以看到构建使用了正确修补的版本(突出显示)。