it-swarm.com.de

Wie man CVE - 2016 - 5696 richtig liest

Die buntu CVE Tracker-Seite enthält mehrere Tabellen, die sich auf Kernel-Pakete beziehen, von denen einige DNE, andere pending und die Version daneben enthalten. Ich würde gerne wissen, wie man jede Tabelle richtig liest. Bezieht sich die Version neben pending auf die Kernelversion, für die das Update veröffentlicht wurde?

Kontext für die Frage : Ich beantworte meistens Fragen auf der Ask Ubuntu-Site. In letzter Zeit war ein neuer Benutzer auf der Website davon überzeugt, dass ich den oben genannten CVE-Bericht falsch interpretiert habe, um meine ursprüngliche Antwort auf sehr aufdringliche Weise zu bearbeiten.

Um ganz ehrlich zu sein, ist die CVE-Seite in der Tat verwirrend für Personen, die die CVE-Berichte nicht regelmäßig lesen. Es wäre also schön zu wissen, wie man solche Berichte für die Zukunft richtig liest und eine Meinung von Dritten hat.

20

Bezieht sich die Version neben "Ausstehend" auf die Kernelversion, für die das Update veröffentlicht wurde?

Ja - genauer gesagt bezieht sich die Version neben "Ausstehend" auf die Version des Pakets innerhalb der Linie, in der der Fix enthalten ist.

Es gibt viele Binärpakete der Upstream-Kernelquellen für verschiedene Hardwareplattformen und andere Anwendungsfälle - "Linux", "Linux-Mako", "Linux-Snapdragon" usw. - und es gibt auch viele Release-Linien - Ubuntu 12.04 LTS/14.04/etc- aller Pakete, die gleichzeitig verwaltet werden.

Daher muss der Upstream-Fehler möglicherweise in mehreren Paketen derselben Quelle über mehrere Linien hinweg behoben werden. Aufgrund der Komplexität wird ein Triage-Prozess verwendet, um die relevanten Klassifizierungen durchzuführen und die Arbeit zu verfolgen. Diese Seite berichtet über den Status dieses Triage-Prozesses für diesen bestimmten Fehler.

Dies kann wie folgt verfolgt werden:

  • wählen Sie eines der Pakete - "Linux" - und eines der Linien - "Ubuntu 12.04 LTS".

    Die Tabelle gibt an, dass der Status des Fixes für dieses Paket in dieser Linie "ausstehend" ist. Die Version des Pakets, die den Fix innerhalb dieser Linie enthält, ist "3.2.0-109.150".

  • folgen Sie zur Bestätigung dem Abstammungslink für das Paket https://launchpad.net/ubuntu/precise/+source/linux

  • scrollen Sie zum Abschnitt "Releases in Ubuntu" der Lineage-Package-Seite und suchen Sie die spezifische Fix-Version, die eine eigene Seite hat: https://launchpad.net/ubuntu/+source/linux/3.2 .0-109.15

  • auf dieser Seite befindet sich ein Änderungsprotokoll. In diesem Änderungsprotokoll ist ein Verweis auf das CVE (CVE-2016-5696), die bestimmte Korrektur, die vorgenommen wurde, und die Person, die es vorgenommen hat, enthalten

Die CVE-Seite ist verwirrend, da sie automatisch aus einem komplexen Datenmodell veröffentlicht wird, das die Wechselbeziehungen zwischen vorgelagerten Quellen und ihren Paketen innerhalb und zwischen Linien verfolgt. Es folgt eine Vorlage, die für die Autorität optimiert ist, nicht unbedingt für die Lesbarkeit.

Die Klassifizierungen wie "DNE" oder "ausstehend" beziehen sich auf den Triage- und Release-Workflow, dem Ubuntu folgt. Zustände auf dieser Seite sind:

  • "DNE" bedeutet, dass das Paket nicht innerhalb der Linie existiert
  • "ignoriert" bedeutet, dass keine Energie aufgewendet wird, um festzustellen, ob das Problem in dem bestimmten Paket innerhalb der Linie vorliegt, da die Unterstützung aus dem einen oder anderen Grund beendet wurde. Siehe zum Beispiel das linux-lts-quantal-Paket in der Ubuntu 12.04 LTS-Linie. Die Unterstützung für dieses bestimmte Paket (ein Backported-Hardware-Aktivierungspaket) in dieser Linie ist nicht mehr zu Ende.
  • "Needs Triage" bedeutet, dass das Paket innerhalb der Linie weiterhin unterstützt wird. Es ist jedoch noch Arbeit erforderlich, um festzustellen, ob das gemeldete Problem tatsächlich innerhalb dieses Paares aus Paket und Linie besteht. Siehe zum Beispiel das "linux-goldfish" -Paket in Ubuntu 16.10.
  • "nicht betroffen" bedeutet, dass die zugrunde liegende Sicherheitsanfälligkeit in Bezug auf den Quellcode in dem bestimmten Paket innerhalb der Linie vorhanden ist. Triage hat jedoch festgestellt, dass das Problem aus einem anderen Grund nicht auftritt. Siehe zum Beispiel "linux-mako" in Ubuntu 16.04 LTS.
  • "benötigt" bedeutet natürlich, dass Triage festgestellt hat, dass das Paket innerhalb der Linie betroffen ist, aber es wird noch gearbeitet, um den Fix auf das bestimmte Paket innerhalb der Linie anzuwenden. Siehe zum Beispiel das Linux-Armadaxp-Paket innerhalb der 12.04-Linie.
  • "ausstehend" bedeutet, dass die Arbeit, die zum Anwenden des Fixes auf das bestimmte Paket innerhalb der Linie erforderlich ist, abgeschlossen wurde, eine Version geschnitten wurde und eine Version in Arbeit ist.
  • "freigegeben" bedeutet, dass der Fix für das Paket innerhalb der Linie freigegeben wurde
15
Jonah Benton