我想知道 linux-image-generic 中修复了哪个 CVE,但此信息在更新日志中不可用,
apt changelog linux-image-generic | cat
我在哪里可以找到它?
据我了解,错误和漏洞修复分别在 -updates 和 -security 中发布。1 个补丁修复了 1 个软件包的 CVE(没有像 Windows 中那样的累积补丁)。每个软件包的每个版本的 ubuntu 都有一个补丁(出于稳定性原因修复当前版本)。
这是我的问题:
-security 和 -updates 镜像何时合并。在下一个 Ubuntu 版本中?
如果在软件包的版本 N 中找到并修复了 CVE。该软件包的版本 N+1 是否包含修复程序?
如果针对 Ubuntu 18/04 发布了安全协议,并且 USN 页面中没有提及 ubuntu 20.04,那么 Ubuntu 20.04 中包含的修复程序还是旧的 CVE 不适用?
在此示例中: https: //ubuntu.com/security/notices/USN-3876-1
USN 中提到的最新版本补丁适用于 Ubuntu 18.04,名为 avahi-daemon-0.7-4ubuntu2.1。
我在 Ubuntu 20.04 中安装的版本较新:0.7-4ubuntu7.2。即使ubuntu版本不同,它是否包含CVE-2017-6519的安全补丁?
在 CVE 跟踪器页面中,空—字段是什么意思?
例如,在此链接中:https://ubuntu.com/security/cves ?q=CVE-2016-5696
CVE 是否不适用于 20.04 LTS,或者在此版本或生命周期结束时未评估其风险?
我几乎总是不允许网站向我发送通知,但是最近我从这个特定网站收到了很多通知,这就是为什么我变得有点怀疑,不仅因为我不记得允许来自这个网站的通知。但也因为通知栏看起来像一个旧的且设计不佳的 Windows 通知。这是图片附件。
如您所见,这看起来不像系统通知,所以我的问题是;您认为这是某些恶意程序的一部分吗?如果是的话,有具体的讲述吗?
大约 3 天前,我买了一个全新的系统并全新安装了 23.04。我没有启用安全启动。然后我花了接下来的 3 天时间安装软件,让我的系统达到完全运行状态。
在我的 gnome“设置”配置中,我找到了“隐私”,然后是“设备安全”。看来我没有通过很多测试。包括受污染的内核(原因是“vboxdrv”)。我删除了污染程序 [这是一个问题,因为我需要该程序 (Virtualbox)],然后尝试尽可能多地修复失败的检查……包括在 bios 中打开“安全启动”。
我将其设置为“Windows”和“标准”。
我的问题是……通过打开它,我想我得到了一定程度的保护。但是我是否通过这样做锁定了一个可能受损的系统?我应该从一开始就有安全启动,还是现在就可以打开它?
我现在通过了所有 HS1,以及其他一些。我是不是对这个功能做了太多?
自从 Canonical 今年发布了 Ubuntu Pro 以来,他们现在为许多常见的软件包保留了一些安全补丁,包括一些包含在 Laravel Forge 配置的服务器上的补丁。
我使用 AWS Inspector 来监控我的 EC2 实例上的漏洞,突然间出现了几个中等严重性的漏洞,这些漏洞无法通过无人值守升级甚至手动安装进行修补。这些补丁作为“ESM”服务的一部分仅限于 Ubuntu Pro 用户。这不仅适用于较旧的安装——我在 22.04.2 LTS 版本上显示了几个漏洞,我正在迅速接近 SLA 以解决我们的 SOC II 协议的这些问题。在过去的两年里,这从来都不是问题,我一直在使用 Forge + Ubuntu + AWS Inspector。所有漏洞始终可以通过无人值守升级或偶尔的 apt-get 更新/升级加上服务器重启来修补。我' 我不太确定最好的行动方案是什么——但许多企业 Forge 用户可能很快就会开始感受到这种影响。也许还有另一个可以使用的 Unix 发行版,或者 Forge 可以与 Canonical 合作以允许以合理的成本配置“Pro”服务器?
现在还有其他人在处理这个问题,或者对如何最好地处理这种情况有任何想法吗?
查看 /etc/apt/sources.list 文件的内容,列出了两个存储库:
archive.ubuntu.com 和 security.ubuntu.com
起初我以为安全存储库只包含安全更新,但它似乎也包含所有其他目录(即 -proposed、-updates 等)。
这只是存档的备份副本吗?如果是这样,为什么它被命名为“安全”?
它为什么存在?
无论我使用 Firefox 还是 Chrome,我都无法访问https://skype.com/en/网站。我在 Chrome 上得到以下信息:
您的连接不是私密的 攻击者可能试图从www.skype.com窃取您的信息(例如,密码、消息或信用卡)。了解更多 NET::ERR_CERT_AUTHORITY_INVALID 主题:www.skype.com
颁发者:Cisco Umbrella 二级 SubCA fra-SG
到期日期:2022 年 2 月 22 日
当前日期:2022 年 2 月 19 日
在火狐上:
警告:潜在的安全风险
Firefox 检测到潜在的安全威胁,并没有继续访问www.skype.com。如果您访问此站点,攻击者可能会尝试窃取您的密码、电子邮件或信用卡详细信息等信息。
你能为这个做什么?
该问题很可能与网站有关,您无法解决此问题。
如果您在公司网络上或使用防病毒软件,您可以联系支持团队寻求帮助。您也可以将此问题通知网站管理员。
我在 Ubuntu 21:10 上,完全更新(刚刚完成 sudo apt update/upgrade,我每天都会这样做)并重新启动我的电脑。我还注意到最近几天我无法访问https://dropbox.com,收到相同的安全警告。
我使用 snapstore 下载了 OBS,开发者是Snapcrafters。但官方网站属于OBSproject。为什么会发生这种情况……安全吗?
让我们以CVE-2021-3448为例。
很容易看出 deb 包何时得到了向后移植的修复,以及服务器上安装了哪些包。
但同样的包装很快:
/snap/lxd/21468/bin/dnsmasq --version
Dnsmasq version 2.80 .....
snap list
lxd 4.18 21468 latest/stable/… canonical✓ -
您是否知道是否有办法查看 CVE 是否在lxd某个地方的 Canonical snap 中向后移植到 2.80?
也许我错过了一些非常简单的方法来获取这些信息。