什么是CVE安全更新,谁发布它们? -- updates 领域 和 security 领域 askubuntu 相关 的问题

What are CVE security updates and who issues them?


简体版||繁體版
1
vote

问题

中文

几个简单的问题。希望几只聪明的猫头鹰能够回答; )

我过去常常通过终端应用更新,因为我不使用任何PPA或使用任何不受信任的应用程序,但是最近我对Ubuntu的bug,它们的修复以及最重要的是对我所做的更改很感兴趣。系统。因此,我发现使用"更新管理器" 更容易,因此可以使用"更改" 部分中的链接访问讨论这些问题的"启动板" 页面。

今天,当系统提示您进行一些特定的更新时,我被定向到一个未知的" mitre.org" 页面,而不是定向到我习惯的"启动板" 页面。

屏幕截图:

更新管理器-更改

Mitre

我已经搜索了askubuntu网站以及其他网站,但我只找到1个线程可以很接近地回答我的问题。它被标记为[已解决],但是OP的原始问题从未得到回答。

http://ubuntuforums.org/showthread.php?t=1586903& ; s = e92cb71ffd1f1299c25cb407f5a4ff6e

所以我的问题...

什么是CVE安全更新,谁发布它们?

在询问上述更新时,为什么为什么要定向到一个未知的网站(无论如何对我来说),该网站是由政府机构资助的(请仔细查看" Mitre" 屏幕截图的底部)?

英文原文

Just a couple quick questions. Hope a couple wise owls might be able to answer ; )

I used to apply updates through the terminal without any care, since I don't use any ppa's or use any untrusted apps but lately I became interested in Ubuntu bugs, their fixes and most importantly the changes that would be made to my system. So, I found it easier to use the 'Update Manager' so I could use the link in the 'Changes' section to access the 'launchpad' page that discusses these issues.

Today when prompted for some specific updates, instead of being directed to a 'launchpad' page that I was accustomed to, I was directed to an unknown 'mitre.org' page.

Screenshots:

Update Manager - Changes

Mitre

I've searched the askubuntu site, as well as others, yet I've only found 1 thread that can come close to answering my questions. It was marked as [SOLVED], yet the OP's original question was never answered.

http://ubuntuforums.org/showthread.php?t=1586903&s=e92cb71ffd1f1299c25cb407f5a4ff6e

So to my questions...

What are CVE security updates and who issues them?

Why am I directed to an unknown website (to me anyways), that is funded by a government agency (look closely on the bottom of the 'Mitre' screenshot), when inquiring about the aforementioned updates?

     
     
     

回答列表

0
 
vote
vote
最佳答案
 

此答案是原始海报所说的帮助他们的两个答案的组合。他们回答提问者提出的两个问题。创建此答案是为了使他们可以接受包含两个部分的答案。


" CVE" 代表"常见漏洞和披露" 。它是安全漏洞标记(尤其是命名)的行业标准。 MITER Corporation维护的CVE列表。这家非营利公司是麻省理工学院(MIT)的分支机构,为美国研究机构提供服务。有关更多信息,请参见Wikipedia上的CVE和MITER Corporation。

(最初由 Henning Kockerbeck )


CVE的修复程序是由给定程序的开发人员在上游固定的,然后由SRU(稳定发行版更新)进行固定,或者由上游程序的开发人员Ubuntu Security将其上载到Ubuntu的最新开发发行版中。团队,或者在社区帮助开发软件包补丁的情况下由安全团队成员赞助上传。

对于位于Main中且由Canonical开发人员维护的程序,Ubuntu安全团队通常会更新软件包并将其放入 RELEASE-security 存储库(其中 RELEASE 是精确,定量,稀有等。

对于Universe中的程序,通常由社区维护,并且社区中的任何人都可以准备SRU或修补程序以包括CVE修复程序。然后,这些修补程序由安全团队赞助,以便上传并包含到Ubuntu中。

(最初由 Thomas W. )

 

This answer is a combination of the two answers the original poster said helped them. They answer both parts of the questions asked by the asker. This answer was created so they could accept an answer that has both parts.


"CVE" stands for "Common Vulnerabilities and Exposures". It is an industry standard for the notation, especially for the naming, of security vulnerabilities. The list of CVEs ist maintained by the MITRE Corporation. This non-profit company has been branched of the Massachusetts Institute of Technology (MIT) as a service for US research institutions. For more information, see CVE and MITRE Corporation on Wikipedia.

(originally by Henning Kockerbeck)


Fixes for CVEs are either fixed upstream by the developers of a given program and then are either SRU'd (Stable Release Update) or uploaded to the latest development release of Ubuntu by either the developers of the upstream program, the Ubuntu Security Team, or are uploaded when sponsored by a member of the security team if the community helped to develop the patch for the package.

For programs that are in Main, and maintained by the developers for Canonical, the Ubuntu Security Team will typically update a package and place it in the RELEASE-security repository (where RELEASE is precise, quantal, raring, etc.).

For programs that are in Universe, those are typically community maintained, and anyone in the community can prepare an SRU or a patch to include the CVE fixes. Those fixes are then sponsored by the Security Team for uploading and inclusion into Ubuntu.

(originally by Thomas W.)

 
 
2
 
vote

" CVE" 代表"常见漏洞和披露" 。它是安全漏洞标记(尤其是命名)的行业标准。 MITER Corporation维护的CVE列表。这家非营利公司是麻省理工学院(MIT)的分支机构,为美国研究机构提供服务。有关更多信息,请参见 CVE 和 MITRE Corporation 上的维基百科。

 

"CVE" stands for "Common Vulnerabilities and Exposures". It is an industry standard for the notation, especially for the naming, of security vulnerabilities. The list of CVEs ist maintained by the MITRE Corporation. This non-profit company has been branched of the Massachusetts Institute of Technology (MIT) as a service for US research institutions. For more information, see CVE and MITRE Corporation on Wikipedia.

 
 
 
 
2
 
vote

" CVE" 代表"常见漏洞和披露" ,在Henning Kockerbeck的回答中对此进行了解释。

CVE的修复程序是由给定程序的开发人员在上游固定的,然后由SRU(稳定发行版更新)进行固定,或者由上游程序的开发人员Ubuntu Security将其上载到Ubuntu的最新开发发行版中。团队,或者在社区帮助开发软件包补丁的情况下由安全团队成员赞助上传。

对于在Main中并由Canonical开发人员维护的程序,Ubuntu安全团队通常会更新软件包并将其放在 RELEASE-security 存储库(其中 RELEASE >是精确,定量,稀有等。

对于Universe中的程序,通常由社区维护,并且社区中的任何人都可以准备SRU或修补程序以包括CVE修复程序。然后,这些修补程序由安全团队赞助,以便上传并包含到Ubuntu中。

 

"CVE" stands for "Common Vulnerabilities and Exposures", explained in Henning Kockerbeck's answer here.

Fixes for CVEs are either fixed upstream by the developers of a given program and then are either SRU'd (Stable Release Update) or uploaded to the latest development release of Ubuntu by either the developers of the upstream program, the Ubuntu Security Team, or are uploaded when sponsored by a member of the security team if the community helped to develop the patch for the package.

For programs that are in Main, and maintained by the developers for Canonical, the Ubuntu Security Team will typically update a package and place it in the RELEASE-security repository (where RELEASE is precise, quantal, raring, etc.).

For programs that are in Universe, those are typically community maintained, and anyone in the community can prepare an SRU or a patch to include the CVE fixes. Those fixes are then sponsored by the Security Team for uploading and inclusion into Ubuntu.

 
 
 
 

相关问题

2  在13.10中更新OpenSSL时出现问题-如何进行诊断或解决?  ( Problem updating openssl in 13 10 how to diagnose or work around ) 
按照有关OpenSSL错误的现有问题中的说明进行操作,我已经运行apt-get更新和升级,然后重新启动。 现在,当我检查版本时,我没有上一个问题" 1.0.1-4ubuntu5.12" 的答案中提到的版本 >dpkg -s openssl Version: 1.0.1e-3ubuntu1.2 >openssl ...

5  Ubuntu安全团队会检查Universe吗?  ( Is universe checked by the ubuntu security team ) 
我对Ubuntu Universe存储库有一个一般性的问题。有人知道Ubuntu Security Team是否对其进行了检查?如果遇到任何问题,特别是安全问题,他们将移动或删除软件包。 感谢您的帮助:) 我只想知道我可以在Universe-Repositories中的程序中获得多少信任。我只安装主要的东西。 如...

2  我应该担心可能的威胁吗?  ( Should i be worried about a possible threat ) 
我最近安装了Ubuntu 12.10。我使用Clamav,并定期扫描系统是否有感染。今天,它收到了潜在的威胁 /usr/lib/ruby/1.9.1/rdoc/generator/template/darkfish/js/thickbox-compressed.js。 Ubuntu是我唯一安装的操作系统。 Clama...

3  是否有任何NetworkManager VPN插件支持IPv6?  ( Do any networkmanager vpn plugins support ipv6 ) 
任何NetworkManager VPN插件都支持IPv6吗?到目前为止,我尝试过的两个(PPTP和StrongSwan)仅显示" IPv4" 选项卡。我本以为至少一个IPsec可以支持IPv6? ...

0  如何加密硬盘? [关闭]  ( How to encrypt hard disk ) 
已关闭。这个问题需要详细信息或清晰说明。它当前不接受答案。 <路径d =" M15 6.38A6.48 6.48 0 007.78。 04h-.02A6.49 6.49 0 002.05 5.6a...

4  哪些Ubuntu版本具有针对CVE-2015-7547(带有libc getaddrinfo()的“ Extremely Severe Bug”)修复程序? [复制]  ( Which ubuntu releases have fixes for cve 2015 7547 extremely severe bug with ) 
此问题已在此处提供答案: ">如何确定CVE是否具有已在Ubuntu的存储库中修复? (4个答案) ...

15  设置保护gnome-terminal免受密钥记录的影响  ( Setting to protect gnome terminal from key logging ) 
看起来很容易记录同一用户的所有进程的击键。基本的键盘记录程序是" xinput" 。 xinput test-xi2 该命令生成所有按键的日志。不幸的是,这包括在gnome-terminal中的密码。 Googling建议,抓住键盘可能会阻止其他窗口捕获按键。 有没有一种方法可以阻止XI2登录到gnome-...

362  如何仅从命令行安装安全更新?  ( How can i install just security updates from the command line ) 
sudo apt-get upgrade 安装所有更新,而不仅仅是安全更新。我知道我可以使用Update Manager仅选择重要的安全更新,但是有没有办法从命令行执行此操作? ...

15  如何使用IPTable阻止ping请求?  ( How can i block ping requests with iptables ) 
和隐身特定端口? ...

39  放弃我的Ubuntu机器之前我该怎么办?  ( What do i have to do before giving away my ubuntu machine ) 
我有一台运行Ubuntu的旧笔记本电脑。现在我想放弃这台笔记本电脑,但是我想删除所有私人数据。那我应该删除什么?我不想格式化整个系统,因为新所有者仍将使用该操作系统。 ...

6  您使用什么策略(尤其是可用的软件)来保护密码安全?  ( What strategies especially available software do you use to keep passwords saf ) 
受最近的 Gawker网站" 的启发,我一直在重新评估我的密码管理。您使用什么策略来确保密码安全?我对可用于Ubuntu的基于软件的解决方案特别感兴趣,但应该分享任何有趣的想法。还可在Android上获得解决方案的奖励积分。 ...

1  Ubuntu 20.04.1 LTS:“ ubuntu-security-status”状态为“ 0接收LTS软件包更新”。我要担心吗?  ( Ubuntu 20 04 1 lts ubuntu security status states 0 receive package updates w ) 
可能已损坏。在我的机器上,我看到以下内容: # ubuntu-security-status 2131 packages installed, of which: 0 receive package updates with LTS until 4/2025 2131 packages are from ...

1  如何在启动时运行需要密码的脚本?  ( How to run script at startup that requires a password ) 
我正在 raspbery pi 3 我有一个脚本,当ubuntu引导时会以root身份运行。为了使该脚本正常运行,我需要一个密码。换句话说,我的脚本开始如下: #!/bin/bash myPassword=(cat /root/foo/psw.txt) # get password from disk ....

0  我是否因为解压缩安装档案而损害了我的安全性?  ( Have i compromised my security because of unpacking an installation archive ) 
我不是技术人员。我在计算机上仅使用Ubuntu 14.04 lts,没有其他操作系统。今天,我从Tor网站下载了一个名为" Tor浏览器包" (tor-browser-linux64-5.0.2_en-US.tar.xz)的软件包到一个名为"当前文件夹" 的空文件夹中,并使用Ubuntu的Archive Manage...

0  预发行版本没有获得安全更新吗? [关闭]  ( Are pre releases not getting security updates ) 
已关闭。此问题是离题。它当前不接受答案。 <路径d =" M15 6.38A6.48 6.48 0 007.78。 04h-.02A6.49 6.49 0 002.05 5.6a6.31 6.31...

3  使用自动代理配置进行apt-get更新错误  ( Apt get update error using automatic proxy configuration ) 
我正在VMware5中使用Ubuntu 10.4.04 LTS。 我使用了自动代理配置,并且能够使用firefox的Internet。 当我想更新 apt-get update 时,出现以下错误。 以下链接提供了一些解决方案,但由于使用自动代理,因此我没有任何端口号 https://answers.launchpa...

42  如何与无头服务器进行图形化接口?  ( How to graphically interface with a headless server ) 
我有一个ubuntu开发服务器在工作。这是一台旧的机架式服务器,位于公司地牢中的某个地方,没人去过。它唯一可以工作的方法就是所谓的无头服务器(即,没有连接监视器/键盘,仅接受网络连接)。 很显然,如果仅需要终端访问,则ssh绰绰有余。但是,我也想不时连接到图形界面。目前,我正在使用内置的VNC功能,但是我很确定这不是...

8  从隐私的角度来看,在Windows 10上使用Ubuntu VM是否安全?  ( Is it safe to use an ubuntu vm on windows 10 from a privacy perspective ) 
我的问题基本上在标题中-我们都知道Windows 10附带的遥测废话以及关于NSA监视每个人的信息。考虑到所有这些东西,(从隐私的角度来看)使用VM使用Linux是否安全? Windows能够从我的VM收集数据吗?或者它基本上与Linux作为主机OS相同? 这对您来说似乎很偏执,但是我觉得这是我必须要确保的事情。我不...

55  如何使用密码生成器对远程登录进行身份验证?  ( How can i use a passcode generator for authentication for remote logins ) 
我想通过添加另一个因素来加强对SSH登录名的身份验证:密码生成器设备或手机上的密码生成应用程序。默认设置中唯一明显的选项是固定的密码和密钥对。我该怎么办? (如果我使用密码加上密码生成器,则会提供双重身份验证(2FA):密码是"我知道" ,密码是"我知道" 。) ...

153  如何修补OpenSSL中的Heartbleed错误(CVE-2014-0160)?  ( How to patch the heartbleed bug cve 2014 0160 in openssl ) 
从今天开始,已经发现 OpenSSL中的错误,该错误会影响版本 1.0.1 通过 1.0.1f (包括)和 1.0.2-beta 。 自Ubuntu 12.04起,我们所有人都容易受到此bug的攻击。为了修补此漏洞,受影响的用户应将其更新为OpenSSL 1.0.1g 。 每个受影响的用户如何立即应用此更新? ...

30  如何为公用计算机配置Ubuntu?  ( How do i configure ubuntu for a public computer ) 
您如何在将要用作库中公共计算机的计算机上设置Ubuntu? 我需要以下功能和用户限制: 启动时,访客用户应自动登录。 来宾用户只能使用Firefox,Chrome和OpenOffice。 来宾用户应该能够将文件写入其USB记忆棒,但不能写入计算机的硬盘驱动器。 有关如何设置类似内容的任何准则?也许有专门为此目的而...

35  iptables的GUI?  ( Gui for iptables ) 
我想保护我的服务器,看来IPtables是第一步。不幸的是,在终端中编辑规则有点复杂和危险(曾经做过 import QtQuick 2.0 import Ubuntu.Components 1.1 /*! rief MainView with a Label and Button elements. */...

6  选择新密匙环的密码  ( Choose password for new keyring ) 
我正在使用Ubuntu 11.04,登录后会显示以下消息: 选择新密匙环的密码 一个应用程序想要创建一个新的 密钥环称为"默认" 。选择 您要使用的密码。 系统刚刚挂起...无法执行任何操作。 [除了使用(alt + ctr + f1)进行的终端登录之外。] 密钥环是什么一回事?如何摆脱它?我被困在...

4  如何禁用GUI根登录?  ( How to disable gui root login ) 
前一段时间,我刚刚进行了测试,看是否可以从root登录到桌面,然后成功了。我单击了用户列表上的"其他" ,输入了root及其密码并登录。现在,我想知道我们如何完全禁用root登录。我在"登录" 屏幕上没有看到任何类似的选项。 ...

12  Ubuntu带有间谍软件?  ( Ubuntu with spyware ) 
已锁定。该问题及其答案已被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 Richard Stallman指出Ubuntu已"安装了监视代码" 。 请参阅: Ub...

相关问题

2  在13.10中更新OpenSSL时出现问题-如何进行诊断或解决? 
5  Ubuntu安全团队会检查Universe吗? 
2  我应该担心可能的威胁吗? 
3  是否有任何NetworkManager VPN插件支持IPv6? 
0  如何加密硬盘? [关闭] 
4  哪些Ubuntu版本具有针对CVE-2015-7547(带有libc getaddrinfo()的“ Extremely Severe Bug”)修复程序? [复制] 
15  设置保护gnome-terminal免受密钥记录的影响 
362  如何仅从命令行安装安全更新? 
15  如何使用IPTable阻止ping请求? 
39  放弃我的Ubuntu机器之前我该怎么办? 
6  您使用什么策略(尤其是可用的软件)来保护密码安全? 
1  Ubuntu 20.04.1 LTS:“ ubuntu-security-status”状态为“ 0接收LTS软件包更新”。我要担心吗? 
1  如何在启动时运行需要密码的脚本? 
0  我是否因为解压缩安装档案而损害了我的安全性? 
0  预发行版本没有获得安全更新吗? [关闭] 
3  使用自动代理配置进行apt-get更新错误 
42  如何与无头服务器进行图形化接口? 
8  从隐私的角度来看,在Windows 10上使用Ubuntu VM是否安全? 
55  如何使用密码生成器对远程登录进行身份验证? 
153  如何修补OpenSSL中的Heartbleed错误(CVE-2014-0160)? 
30  如何为公用计算机配置Ubuntu? 
35  iptables的GUI? 
6  选择新密匙环的密码 
4  如何禁用GUI根登录? 
12  Ubuntu带有间谍软件? 



© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有