今日、cron-aptは私のDebian安定システムに保留中のセキュリティアップデートがあることを知らせました。
CRON-APT RUN [/etc/cron-apt/config]: Tue Jan 25 04:00:01 CET 2022
CRON-APT SLEEP: 3076, Tue Jan 25 04:51:17 CET 2022
CRON-APT ACTION: 3-download
CRON-APT LINE: /usr/bin/apt-get -o quiet=1 dist-upgrade -d -y -o APT::Get::Show-Upgraded=true
Reading package lists...
Building dependency tree...
Reading state information...
Calculating upgrade...
The following package was automatically installed and is no longer required:
linux-image-5.10.0-9-amd64
Use 'apt autoremove' to remove it.
The following packages will be upgraded:
bsdextrautils bsdutils eject libblkid1 libmount1 libsmartcols1 libuuid1
mount util-linux util-linux-locales
10 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 3561 kB of archives.
After this operation, 16.4 kB of additional disk space will be used.
Get:1 http://security.debian.org bullseye-security/main amd64 bsdutils amd64 1:2.36.1-8+deb11u1 [148 kB]
Get:2 http://security.debian.org bullseye-security/main amd64 util-linux amd64 2.36.1-8+deb11u1 [1141 kB]
Get:3 http://security.debian.org bullseye-security/main amd64 mount amd64 2.36.1-8+deb11u1 [186 kB]
Get:4 http://security.debian.org bullseye-security/main amd64 bsdextrautils amd64 2.36.1-8+deb11u1 [145 kB]
Get:5 http://security.debian.org bullseye-security/main amd64 libblkid1 amd64 2.36.1-8+deb11u1 [193 kB]
Get:6 http://security.debian.org bullseye-security/main amd64 libmount1 amd64 2.36.1-8+deb11u1 [212 kB]
Get:7 http://security.debian.org bullseye-security/main amd64 libsmartcols1 amd64 2.36.1-8+deb11u1 [158 kB]
Get:8 http://security.debian.org bullseye-security/main amd64 libuuid1 amd64 2.36.1-8+deb11u1 [83.9 kB]
Get:9 http://security.debian.org bullseye-security/main amd64 eject amd64 2.36.1-8+deb11u1 [102 kB]
Get:10 http://security.debian.org bullseye-security/main amd64 util-linux-locales all 2.36.1-8+deb11u1 [1192 kB]
Fetched 3561 kB in 0s (47.6 MB/s)
Download complete and in download only mode
しかし見てみるとhttps://www.debian.org/security/、一致する通知が見つかりませんでした:
最近の提案
このページには、debian-security-announceリストに公開されているセキュリティ情報の圧縮アーカイブが含まれています。
[2022年1月21日] DSA-5052-1 usbviewセキュリティアップデート
[2022年1月20日] DSA-5051-1 補佐官セキュリティアップデート
[2022年1月20日] DSA-5050-1 Linuxセキュリティアップデート
[2022 1月15日] DSA-5048 -1 libreswanセキュリティアップデート
...
したがって、(1)発表が遅れているか、(2)疑わしい状況が発生しました。 ((1)が(2)より確率がはるかに高いことはわかりますが、それでも…)
これが実際に安全なセキュリティアップデートであることをどのように確認しますか?更新されたパッケージの1つのパッケージ情報ページを表示しようとしました(https://packages.debian.org/bullseye/bsdutils)、しかし右側の「Debian Changelog」リンクは、最後の修正が半年前であることを示しています。
メモ:
- 私はこの特定のケースへの答えに興味がありますが、次の点にもっと興味があります。一般的なこの状況でどのように進むべきかを答えてください(上記の太字で示されている質問を参照)。
- この質問がsecurity.seに適していると思われる場合は、自由に移行してください。
答え1
インフラストラクチャが依然として信頼されていると仮定すると、システムから変更ログを要求して、変更内容を確認できます。
$ apt changelog util-linux/bullseye-security
util-linux (2.36.1-8+deb11u1) bullseye-security; urgency=high
* Non-maintainer upload by the Security Team.
* include/strutils: Add ul_strtou64() function
* libmount: fix UID check for FUSE umount [CVE-2021-3995]
* libmount: fix (deleted) suffix issue [CVE-2021-3996]
-- Salvatore Bonaccorso <[email protected]> Thu, 20 Jan 2022 21:10:35 +0100
...
(これにより、リポジトリが変更ログを照会するため、アップグレードを適用する必要はありません。)
あなたの場合、更新されたすべてのパッケージはutil-linux
ソースパッケージにあり、すべて同じ変更ログを表示します。修正にはlibmount
固定ソースパッケージのアップロードのみが含まれますが、生成されたすべてのバイナリパッケージを再構築し、すべてセキュリティアップデートでリリースすることを意味します。
この情報は以下でも確認できます。パッケージトラッカーへのリンクを提供します。変更ログそしてセキュリティトラッカー(そして他の多くの人)。問題が記録されたときにセキュリティトラッカーがオフになり、他のページの一部が期待どおりに更新されなかった理由を説明できます。1月24日に発行されたDSA。
変更内容を確認するには、元のコードと更新されたソースコードをダウンロードしてください。
$ apt source util-linux/{stable,bullseye-security}
.debian
そしてダウンロードしたタールボールを比較してみてください。ほとんどの場合、タールボールしかありません。この場合util-linux_2.36.1-8.debian.tar.xz
は次のようになります。util-linux_2.36.1-8+deb11u1.debian.tar.xz
$ mkdir ulo uls; tar xf util-linux_2.36.1-8.debian.tar.xz -C ulo; tar xf util-linux_2.36.1-8+deb11u1.debian.tar.xz -C uls
$ diff -urN ulo uls | less
答え2
Debian ホームページの「最近のアドバイス」のリストは最新ではありません。メーリングリストアーカイブ(https://lists.debian.org/debian-security-announce/)逆。
そこであなたは見つけるでしょうutil-linuxの提案昨日送りました。コメントで述べたように、バグはlibmount
それを説明する他のパッケージアップデートに関連しています。