오늘 cron-apt는 내 데비안 안정 시스템에 보류 중인 보안 업데이트가 있다는 알림을 보냈습니다.
CRON-APT RUN [/etc/cron-apt/config]: Tue Jan 25 04:00:01 CET 2022
CRON-APT SLEEP: 3076, Tue Jan 25 04:51:17 CET 2022
CRON-APT ACTION: 3-download
CRON-APT LINE: /usr/bin/apt-get -o quiet=1 dist-upgrade -d -y -o APT::Get::Show-Upgraded=true
Reading package lists...
Building dependency tree...
Reading state information...
Calculating upgrade...
The following package was automatically installed and is no longer required:
linux-image-5.10.0-9-amd64
Use 'apt autoremove' to remove it.
The following packages will be upgraded:
bsdextrautils bsdutils eject libblkid1 libmount1 libsmartcols1 libuuid1
mount util-linux util-linux-locales
10 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 3561 kB of archives.
After this operation, 16.4 kB of additional disk space will be used.
Get:1 http://security.debian.org bullseye-security/main amd64 bsdutils amd64 1:2.36.1-8+deb11u1 [148 kB]
Get:2 http://security.debian.org bullseye-security/main amd64 util-linux amd64 2.36.1-8+deb11u1 [1141 kB]
Get:3 http://security.debian.org bullseye-security/main amd64 mount amd64 2.36.1-8+deb11u1 [186 kB]
Get:4 http://security.debian.org bullseye-security/main amd64 bsdextrautils amd64 2.36.1-8+deb11u1 [145 kB]
Get:5 http://security.debian.org bullseye-security/main amd64 libblkid1 amd64 2.36.1-8+deb11u1 [193 kB]
Get:6 http://security.debian.org bullseye-security/main amd64 libmount1 amd64 2.36.1-8+deb11u1 [212 kB]
Get:7 http://security.debian.org bullseye-security/main amd64 libsmartcols1 amd64 2.36.1-8+deb11u1 [158 kB]
Get:8 http://security.debian.org bullseye-security/main amd64 libuuid1 amd64 2.36.1-8+deb11u1 [83.9 kB]
Get:9 http://security.debian.org bullseye-security/main amd64 eject amd64 2.36.1-8+deb11u1 [102 kB]
Get:10 http://security.debian.org bullseye-security/main amd64 util-linux-locales all 2.36.1-8+deb11u1 [1192 kB]
Fetched 3561 kB in 0s (47.6 MB/s)
Download complete and in download only mode
그러나 살펴보면https://www.debian.org/security/, 일치하는 공지를 찾지 못했습니다:
최근 제안
이 페이지에는 debian-security-announce 목록에 게시된 보안 공지의 압축 아카이브가 포함되어 있습니다.
[2022년 1월 21일] DSA-5052-1 usbview 보안 업데이트
[2022년 1월 20일] DSA-5051-1 보좌관 보안 업데이트
[2022년 1월 20일] DSA-5050-1 리눅스 보안 업데이트
[2022년 1월 15일] DSA-5048 -1 libreswan 보안 업데이트
...
따라서 (1) 발표가 지연되었거나 (2) 의심스러운 상황이 발생했습니다. ((1)이 (2)보다 확률이 훨씬 높다는 건 알지만 그래도...)
이것이 실제로 안전한 보안 업데이트인지 어떻게 확인합니까?업데이트된 패키지 중 하나에 대한 패키지 정보 페이지를 보려고 했습니다(https://packages.debian.org/bullseye/bsdutils), 그러나 오른쪽의 "Debian Changelog" 링크는 마지막 수정이 반년 전임을 보여줍니다.
노트:
- 나는 이 특정한 사례에 대한 답변에 관심이 있지만, 다음 사항에 더 관심이 있습니다.일반적인이 상황에서 어떻게 진행해야 하는지 답해 보세요(위의 굵은 글씨로 표시된 질문 참조).
- 이 질문이 security.se에 더 적합하다고 생각하시면 자유롭게 마이그레이션해 주세요.
답변1
인프라를 여전히 신뢰한다고 가정하면 시스템에서 변경 로그를 요청하여 변경된 내용을 확인할 수 있습니다.
$ apt changelog util-linux/bullseye-security
util-linux (2.36.1-8+deb11u1) bullseye-security; urgency=high
* Non-maintainer upload by the Security Team.
* include/strutils: Add ul_strtou64() function
* libmount: fix UID check for FUSE umount [CVE-2021-3995]
* libmount: fix (deleted) suffix issue [CVE-2021-3996]
-- Salvatore Bonaccorso <[email protected]> Thu, 20 Jan 2022 21:10:35 +0100
...
(이렇게 하면 저장소에서 변경 로그를 쿼리하므로 업그레이드를 적용할 필요가 없습니다.)
귀하의 경우 업데이트된 모든 패키지는 util-linux소스 패키지에 있으므로 모두 동일한 변경 로그를 표시합니다. 수정에는 libmount고정된 소스 패키지 업로드만 포함되지만 생성된 모든 바이너리 패키지를 다시 빌드하고 모두 보안 업데이트로 릴리스한다는 의미입니다.
이 정보는 다음에서도 확인할 수 있습니다.패키지 추적기에 대한 링크를 제공합니다.변경 로그그리고보안 추적기(그리고 많은 다른 사람들). 문제가 기록될 때 보안 추적기가 꺼졌는데, 이는 다른 페이지 중 일부가 예상대로 업데이트되지 않은 이유를 설명할 수 있습니다.1월 24일에 발행된 DSA.
변경된 내용을 확인하려면 원본 및 업데이트된 소스 코드를 다운로드하세요.
$ apt source util-linux/{stable,bullseye-security}
.debian그리고 다운로드한 타르볼을 비교해 보세요. 대부분의 경우 타르볼 만 있습니다. 이 경우 util-linux_2.36.1-8.debian.tar.xz에는 다음과 같습니다.util-linux_2.36.1-8+deb11u1.debian.tar.xz
$ mkdir ulo uls; tar xf util-linux_2.36.1-8.debian.tar.xz -C ulo; tar xf util-linux_2.36.1-8+deb11u1.debian.tar.xz -C uls
$ diff -urN ulo uls | less
답변2
데비안 홈 페이지의 "최근 조언" 목록은 최신이 아닙니다. 메일링 목록 아카이브(https://lists.debian.org/debian-security-announce/) 반대로.
거기에서 당신은 찾을 것입니다util-linux에 대한 제안어제 보냈습니다. 의견에서 언급했듯이 버그는 libmount이를 설명하는 다른 패키지 업데이트와 관련이 있습니다.