cron-apt 通知我,我的 Debian 系統上有待處理的安全更新,但我找不到相應的公告。我該如何進行?
今天,cron-apt 通知我,我的 Debian 穩定係統上有待處理的安全更新:
CRON-APT RUN [/etc/cron-apt/config]: Tue Jan 25 04:00:01 CET 2022 CRON-APT SLEEP: 3076, Tue Jan 25 04:51:17 CET 2022 CRON-APT ACTION: 3-download CRON-APT LINE: /usr/bin/apt-get -o quiet=1 dist-upgrade -d -y -o APT::Get::Show-Upgraded=true Reading package lists... Building dependency tree... Reading state information... Calculating upgrade... The following package was automatically installed and is no longer required: linux-image-5.10.0-9-amd64 Use 'apt autoremove' to remove it. The following packages will be upgraded: bsdextrautils bsdutils eject libblkid1 libmount1 libsmartcols1 libuuid1 mount util-linux util-linux-locales 10 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 3561 kB of archives. After this operation, 16.4 kB of additional disk space will be used. Get:1 http://security.debian.org bullseye-security/main amd64 bsdutils amd64 1:2.36.1-8+deb11u1 [148 kB] Get:2 http://security.debian.org bullseye-security/main amd64 util-linux amd64 2.36.1-8+deb11u1 [1141 kB] Get:3 http://security.debian.org bullseye-security/main amd64 mount amd64 2.36.1-8+deb11u1 [186 kB] Get:4 http://security.debian.org bullseye-security/main amd64 bsdextrautils amd64 2.36.1-8+deb11u1 [145 kB] Get:5 http://security.debian.org bullseye-security/main amd64 libblkid1 amd64 2.36.1-8+deb11u1 [193 kB] Get:6 http://security.debian.org bullseye-security/main amd64 libmount1 amd64 2.36.1-8+deb11u1 [212 kB] Get:7 http://security.debian.org bullseye-security/main amd64 libsmartcols1 amd64 2.36.1-8+deb11u1 [158 kB] Get:8 http://security.debian.org bullseye-security/main amd64 libuuid1 amd64 2.36.1-8+deb11u1 [83.9 kB] Get:9 http://security.debian.org bullseye-security/main amd64 eject amd64 2.36.1-8+deb11u1 [102 kB] Get:10 http://security.debian.org bullseye-security/main amd64 util-linux-locales all 2.36.1-8+deb11u1 [1192 kB] Fetched 3561 kB in 0s (47.6 MB/s) Download complete and in download only mode但是,查看https://www.debian.org/security/,我沒有找到匹配的公告:
最近的諮詢
這些網頁包括發佈到 debian-security-announce 列表的安全建議的壓縮存檔。
$$ 21 Jan 2022 $$DSA-5052-1 usbview 安全更新
$$ 20 Jan 2022 $$DSA-5051-1 助手安全更新
$$ 20 Jan 2022 $$DSA-5050-1 linux 安全更新
$$ 15 Jan 2022 $$DSA-5048-1 libreswan 安全更新
…
因此,要麼(1)宣布推遲,要麼(2)發生了一些可疑的事情。(我知道(1)的機率遠高於(2),但仍然……)
**我該如何繼續驗證這確實是一個真正的良性安全更新?**我嘗試查看其中一個更新包(https://packages.debian.org/bullseye/bsdutils)的包資訊頁面,但右側的“Debian Changelog”連結顯示最後一次修改是一半一年前。
筆記:
- 雖然我對這個特定案例的答案感興趣,但我更感興趣的是如何在這種情況下繼續進行的一般性答案(請參閱上面的粗體問題)。
- 如果您認為這個問題更適合 security.se,請隨意遷移。
假設您仍然信任基礎架構,您可以通過請求系統上的更改日誌來找出更改的內容;例如
$ apt changelog util-linux/bullseye-security util-linux (2.36.1-8+deb11u1) bullseye-security; urgency=high * Non-maintainer upload by the Security Team. * include/strutils: Add ul_strtou64() function * libmount: fix UID check for FUSE umount [CVE-2021-3995] * libmount: fix (deleted) suffix issue [CVE-2021-3996] -- Salvatore Bonaccorso <carnil@debian.org> Thu, 20 Jan 2022 21:10:35 +0100 ...(這會從儲存庫中查詢更改日誌,它不需要您應用升級。)
在您的情況下,所有更新的包都來自
util-linux源包,因此它們都將顯示相同的更改日誌。雖然修復只涉及libmount,但上傳固定源包意味著重建它生成的所有二進制包,並將它們全部作為安全更新發布。此資訊也可在包跟踪器上找到,它提供了更改日誌和安全跟踪器(以及許多其他)的連結。編寫問題時,安全跟踪器已關閉,這可能解釋了為什麼其他一些頁面沒有像您預期的那樣更新;DSA 於 1 月 24 日發出。
如果您想檢查更改的內容,可以下載原始和更新的原始碼:
$ apt source util-linux/{stable,bullseye-security}並比較下載的壓縮包——在大多數情況下,只有壓縮
.debian包,在這種情況下:util-linux_2.36.1-8.debian.tar.xz``util-linux_2.36.1-8+deb11u1.debian.tar.xz$ mkdir ulo uls; tar xf util-linux_2.36.1-8.debian.tar.xz -C ulo; tar xf util-linux_2.36.1-8+deb11u1.debian.tar.xz -C uls $ diff -urN ulo uls | less