Các bản vá bảo mật của gói có được nhập vào phiên bản cũ hơn không?

Stormrice

10:27, 02/04/2023

tôi thấy trên cve.mitre.org gói OpenLDAP (slapd) đó có rất nhiều lỗ hổng trước khi 2.4.57.

Nếu tôi muốn cài đặt OpenLDAP từ các kho lưu trữ chính thức trên Debian 10 của mình, phiên bản nào là tát/ổn định cũ,ổn định cũ 2.4.47+dfsg-3+deb10u6 AMD64.

Các bản vá bảo mật cho những CVE đó có được nhập vào đây không 2.4.47 phiên bản mới nhất hay tôi phải lấy bản phát hành mới nhất (2.6.x) từ trang web chính thức và cài đặt nó từ nguồn để loại bỏ các CVE đó ?

Cảm ơn bạn.

0 + 0

chia sẻ màn hình

tệp nhật ký

phản chiếu

quản lý bản vá

tát

Điểm:0

Server

Lacek

11:26, 02/04/2023

Thông thường, các gói được vá để chống lại các sự cố bảo mật, bất kể phiên bản của chúng là gì. Vì vậy, nếu bạn thấy nội dung như "Một lỗ hổng đã được phát hiện trong OpenLDAP trước 2.4.57..." và bạn đã cài đặt 2.4.49 trên hệ thống của mình, điều đó không nhất thiết (trong hầu hết các trường hợp: điều đó không có nghĩa là máy chủ của bạn dễ bị tấn công, tất nhiên, miễn là gói của bạn đến từ kho lưu trữ chính thức của Debian.

Bạn có thể kiểm tra xem một gói có lỗ hổng cụ thể được vá trên Trình theo dõi lỗi bảo mật Debian. Có các liên kết để kiểm tra các gói dễ bị tổn thương hiện tại, nhưng bạn có thể tìm kiếm một gói hoặc ID CVE (ở cuối trang) và kiểm tra xem một lỗ hổng nhất định đã được vá hay chưa.

Nếu bạn muốn xem một gói, bạn nên cung cấp nguồn gói, không phải gói thực tế bạn cài đặt. Ví dụ, đối với tát, gói nguồn được gọi openldap, vì vậy bạn nên sử dụng nó khi liệt kê các lỗ hổng. Nguồn của gói đã cho có thể được truy vấn bằng lệnh sau:

chương trình apt-cache (gói) | nguồn grep:

0 + 0

Stormrice

11:41, 02/04/2023

Xin chân thành cảm ơn Ngài.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Does packages security patches are backported to older version?

TH: แพตช์การรักษาความปลอดภัยของแพ็คเกจมีการย้อนกลับเป็นเวอร์ชันที่เก่ากว่าหรือไม่

RO: Patch-urile de securitate ale pachetelor sunt backportate la o versiune mai veche?

RU: Переносятся ли исправления безопасности пакетов на более раннюю версию?

VI: Các bản vá bảo mật của gói có được nhập vào phiên bản cũ hơn không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.