Vraag OpenSSH v7 waar kan ik dit van installeren?


Ok, dus ik begrijp hoe Ubuntu hun pakketreleases doet en wat niet, maar ik moet beveiligingsupdates betrouwbaar installeren zonder te zoeken naar het enorme downloaden en compileren van internet. Weet iemand van een goede PPA die ik kan toevoegen aan mijn sources.list om de nieuwste pakketten te installeren die een bekende kwetsbaarheid verhelpen? Debian heeft de sid repository ... zal dat werken met Trusty 14.04? Of is er iets vergelijkbaars in Ubuntu?

Ik waardeer de hulp.


1
2017-12-15 18:25


oorsprong


Trusty krijgt beveiligingsupdates "betrouwbaar zonder het enorme internet te doorzoeken ..." en zonder enige PPA's. - mikewhatever
Hoe komt het dan dat ik een apt-get update en apt-get dist-upgrade krijg ik niet de laatste versie van OpenSSL of OpenSSH of Apache? - YouDontNeedMyName
Dat is de manier waarop Ubuntu werkt, die is overgenomen van Debian. Stabiele releases hebben nooit de nieuwste pakketten, in plaats daarvan worden oudere pakketten onderhouden met beveiligingsupdates en kritieke fixes. wiki.ubuntu.com/StableReleaseUpdates - mikewhatever
Dus ik begrijp de nadruk op betrouwbaarheid boven het vrijgeven van de nieuwste en beste, maar vanuit beveiligingsoogpunt is het voor mij gewoon niet logisch, dus hoe leg ik mijn beveiligingscontroleur uit: "Ik weet dat het niet de nieuwste versie is, maar het is niet kwetsbaar omdat een derde partij heeft zogenaamd het beveiligingslek opgelost in een onderhoudsrelease die is verouderd voordat het beveiligingslek oorspronkelijk werd gerapporteerd. " ? - YouDontNeedMyName
Dat klopt helemaal niet, voor zover de uitleg gaat. Als het geen steek houdt voor jou of security auditors, het spijt me, maar dat is de manier waarop de meeste Linux (Debian, * buntus, RHEL, CentOS) distro's al jaren werken. Ik twijfel er niet aan dat het snel zal veranderen, dus misschien is Ubuntu gewoon niet voor jou, en moet je kijken naar zoiets als Arch Linux of andere besturingssystemen. - mikewhatever


antwoorden:


... dus hoe leg ik mijn beveiligingsauditor uit: "Ik weet dat het niet de   nieuwste versie, maar het is niet kwetsbaar omdat een derde partij   zogenaamd de kwetsbaarheid in een onderhoudsrelease opgelost   dateert van vóór het moment waarop de kwetsbaarheid oorspronkelijk werd gerapporteerd. "?

Dat klopt helemaal niet, voor zover de uitleg gaat. Als het geen steek houdt voor jou of security auditors, het spijt me, maar dat is de manier waarop de meeste Linux distros (Debian, * buntus, RHEL, CentOS) al jaren werken. Ik twijfel er niet aan dat het snel zal veranderen, dus misschien is Ubuntu gewoon niet voor jou, en moet je kijken naar zoiets als Arch Linux, Debian onstabiel of andere besturingssystemen.

PS: Je kunt controleren wat in een pakket in Ubuntu is opgelost met het volgende:

apt-get changelog pkgname

Bijvoorbeeld, apt-get changelog openssh-server het lijkt hierop:

openssh (1: 6.6p1-2ubuntu2.3) vertrouwde beveiliging; spoed = gemiddeld

  • SECURITY REGRESSION: willekeurige auth-fouten vanwege niet-geïnitialiseerd   struct field (LP: # 1485719)

    • debian / flarden / CVE-2015-5600-2.patch:

    - Marc Deslauriers ma 17 augustus 2015   21:52:52 -0 400

openssh (1: 6.6p1-2ubuntu2.2) vertrouwde beveiliging; spoed = gemiddeld

  • SECURITY UPDATE: mogelijke gebruikersimitatie via PAM-ondersteuning      
    • debian / patches / pam-security-1.patch: niet opnieuw gebruikersnaam in PAM in   monitor.c, monitor_wrap.c.
    • CVE nummer in behandeling * VEILIGHEID UPDATE: gebruik-na-vrij in PAM-ondersteuning
    • debian / patches / pam-security-2.patch: gebruik gratis na gebruik in monitor.c.
    • CVE nummer in behandeling

...


2
2017-12-15 23:19



Dat was handig, bedankt maar als ik de opdracht uitvoer om naar de wijzigingslog te kijken, ontbreken er een paar CVE's. Het nieuwste in de changelog is CVE-2015-5600-2. In vergelijking met www.cvedetails.com is er echter CVE-2015-6565 gepubliceerd op 23 augustus 2015 en CVE-2015-6564 gepubliceerd op 25 augustus 2015 nog steeds ontbreekt. Dus mijn begrip is dat de huidige versie van ssh-server die voor mij beschikbaar is vanuit de officiële repository nog steeds kwetsbaar is evenals * -client. Er zijn bijna 4 maanden geleden gepubliceerd en ik begrijp begrijpelijk dat deze dingen tijd kosten voor iemand om te coderen, maar ik moet dit een patch geven. - YouDontNeedMyName
@YouDontNeedMyName nee, CVE-2015-6565 heeft zelfs geen invloed op ons, en CVE-2015-6564 is gepatcht. - muru


Uw mirror in sources.list is mogelijk niet tijdig bijgewerkt. De meeste kwetsbaarheden worden gepatcht naar de hoofdserver en de mirrors moeten worden bijgewerkt. Elke spiegel wordt op zijn eigen snelheid bijgewerkt. U kunt zich abonneren op de beveiligings-RSS-feed op http://www.ubuntu.com/usn/rss.xml om de nieuwste updates te bekijken en naar downloads naar de primaire site te gaan of te wachten totdat uw geselecteerde mirror is bijgewerkt.


1
2017-12-15 18:50



Bedankt voor de suggestie, maar ik denk niet dat dit het geval is, omdat de nieuwe versies van apache en ssl nu al veel "manen" zijn en ik mijn oppenssl alleen kon updaten naar 1.0.2 met behulp van PPA (ppa.launchpad.net/ondrej/php5-5.6/ubuntu) Verder zie ik bij het bladeren door de URL van ubuntu-pakketten (packages.ubuntu.com) alleen 1.0.1 voor trusty: trusty (14.04LTS) (utils): Secure Sockets Layer-toolkit - cryptografisch hulpprogramma 1.0.1f-1ubuntu2.16 [beveiliging ]: amd64 i386 - YouDontNeedMyName