如何可靠地發現與已安裝軟體包相關的 CVE
我有一個在 Ubuntu Server 18 上執行的 Web 應用程序。它的依賴項之一是 Ghostscript。我能夠通過 apt-get 安裝的最新版本是 9.26,但我了解到這個版本存在安全問題。
我正在尋找的是一種自動檢測何時針對包提出 CVE 的方法。我原以為我可以簡單地檢查 apt-get 儲存庫,但它所能做的就是告訴我它是否有更新的版本,而不是它的最新版本是否有問題。
是否有某種方法可以從命令行發現某個包的版本是否存在漏洞?即一些命令,或者我可以建構腳本的公共 API 或文件?
我能夠通過 apt-get 安裝的最新版本是 9.26,但我了解到這個版本存在安全問題。
這既是事實,也可能不是完全相關的事實。
幾乎所有主要的 Linux 發行版都支持埠安全更新。他們向後移植的原因和過程在RedHat.com上有很好的描述,但對於 Ubuntu 也是類似的。(請閱讀整篇文章。)簡而言之,軟體本身報告的舊版本號並不自動等同於不安全。
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ghostscript 和https://www.ghostscript.com/doc/9.55.0/News.htm
兩者都顯示了在最新的 Ghostscript 版本中修復的一系列問題。
您是否需要更新到 Ghostscript 9.55 來修復所有這些問題?
不。
https://ubuntu.com/security/notices/USN-4686-1顯示許多漏洞已被反向移植,並且 Ubuntu 18 根本不會受到最新 CVE 的攻擊。
https://ubuntu.com/security/cves?package=ghostscript
一般來說,定期應用安全更新(只要您的發行版受支持)將確保您的安全。