"rpm -qa --changelog package_name"은 한 패키지의 CVE 번호를 나열하지 않지만 다른 패키지에서는 제대로 작동합니다.

tag-icon tag-icon rhel security rpm
"rpm -qa --changelog package_name"은 한 패키지의 CVE 번호를 나열하지 않지만 다른 패키지에서는 제대로 작동합니다.

mysql* 패키지가 어떤 취약점을 수정했는지 알아내려고 노력했지만 놀랍게도 변경 로그에는 CVE 번호가 나열되지 않았습니다.

실행하면 rpm -qa --changelog package_name다음과 같이 CVE 번호 등을 포함한 모든 변경 로그가 표시됩니다.

[[email protected] ~]# rpm -qa --changelog kernel | grep -i cve | head -n10
- [mm] enlarge stack guard gap (Larry Woodman) [1452732 1452733] {CVE-2017-1000364}
- [fs] nfsd: stricter decoding of write-like NFSv2/v3 ops ("J. Bruce Fields") [1449282 1443204] {CVE-2017-7895}
- [fs] nfsd4: minor NFSv2/v3 write decoding cleanup ("J. Bruce Fields") [1449282 1443204] {CVE-2017-7895}
- [fs] nfsd: check for oversized NFSv2/v3 arguments ("J. Bruce Fields") [1447642 1442407] {CVE-2017-7645}
- [net] macsec: dynamically allocate space for sglist (Sabrina Dubroca) [1445546 1445545] {CVE-2017-7477}
- [net] macsec: avoid heap overflow in skb_to_sgvec (Sabrina Dubroca) [1445546 1445545] {CVE-2017-7477}
- [net] tcp: avoid infinite loop in tcp_splice_read() (Davide Caratti) [1430579 1430580] {CVE-2017-6214}
- [x86] kvm: x86: fix emulation of "MOV SS, null selector" (Radim Krcmar) [1414742 1414743] {CVE-2017-2583}
- [net] packet: fix overflow in check for tp_reserve (Hangbin Liu) [1441171 1441172] {CVE-2017-7308}
- [net] packet: fix overflow in check for tp_frame_nr (Hangbin Liu) [1441171 1441172] {CVE-2017-7308}

그러나 check mysql* 패키지를 실행하면 CVE 번호가 나열되지 않습니다.

[[email protected] ~]# rpm -qa --changelog mysql* | grep -i cve
[[email protected] ~]#

yum 저장소 등의 구성과 같은 내용이 누락되었나요?

rpm에서 변경 로그 정보를 어디서 얻을 수 있습니까? mysql 패키지에 대해 다시 빌드해야 할 수 있습니까?

예, 실제로 콘텐츠를 보지 않고도 변경 로그를 볼 수 있지만 물론 CVE는 없습니다.

[[email protected] ~]# rpm -qa --changelog mysql* | head -n10
* Wed Nov 08 2017 Bharathy Satish <[email protected]> - 5.7.21-1
- Add keyring_encrypted_file.so plugin

* Tue Oct 31 2017 Bjorn Munch <[email protected]> - 5.7.21-1
- Remove obsoleted mysqltest man pages

* Fri May 26 2017 Harin Vadodaria <[email protected]> - 5.7.19-1
- Add keyring_aws.so plugin to commercial server subpackage

* Tue Sep 13 2016 Balasubramanian Kandasamy <[email protected]> - 5.7.16-1

답변1

변경 로그 항목은 자유 형식 텍스트입니다. 일부 패키지 관리자는 여기에 CVE를 배치합니다. 일부 오류 ID. 일부는 각 Git 변경 사항을 설명하고 일부는 거기에 간단한 요약을 넣습니다.

변경 로그에 의존할 수 없습니다. 다른 방법을 찾아야 합니다.

관련 정보