Ubuntu一般会及时发布安全更新吗?

Modified on: Sat, 09 Jun 2018 21:42:53 +0800

具体问题:Oneiric nginx软件包版本为1.0.5-1,于2011年7月发布。到更改日志

最近的内存泄露漏洞(顾问页CVE-2012-1180DSA-2434-1)未在1.0.5-1中修复。如果我没有误读Ubuntu CVE页面,那么所有Ubuntu版本似乎都会出现易受攻击的nginx。

  1. 这是真的吗?

    如果是这样的话:我认为Canonical有一个安全团队正在积极处理这类问题,因此我希望通过apt-get update

  2. 这种期望 - 让我的软件包保持最新状态足以阻止我的服务器发现已知的漏洞 - 通常是错误的吗?

  3. 如果是这样的话:我该怎么做才能保证它的安全?阅读Ubuntu安全通知在这种情况下没有帮助,因为nginx漏洞从未发布过。

  4. 醇>

最佳答案

Ubuntu目前分为四个部分:main,restricted,universe和multiverse。 Ubuntu安全团队在Ubuntu版本的生命周期内支持main和restricted的软件包,而Universe和多元软件包中的软件包由Ubuntu社区支持。有关详细信息,请参见安全团队常见问题解答

由于nginx位于Universe组件中,因此它不会从安全团队获取更新。由社区来解决该软件包中的安全问题。有关具体步骤,请参见此处

您可以使用软件中心或ubuntu-support-status命令行工具来确定哪些软件包是官方支持的,以及确定支持的时间。


从未来更新:Nginx正在转向main,因此 将获得Ubuntu安全团队的支持。如果您不确定您的版本是否可用,只需查看apt-cache show nginx并查找“Section”标记。当它在Main中时,你将获得Canonical支持。

作者:Oli,mdeslaur

相关问答

添加新评论