Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Убунту

Содержит ли список OVAL для Ubuntu пакеты, уязвимые (имеющие CVE), но еще не исправленные (не имеющие USN)?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Как работает Ubuntu OVAL
  4. Отличие CVE OVAL от USN OVAL
  5. Пример анализа CVE
  6. Заключение

Вопрос или проблема

Документация Ubuntu рекомендует использовать Ubuntu OVAL для отслеживания уязвимых пакетов, которые необходимо обновить. В последнем разделе “Как работают данные Ubuntu OVAL” сказано (выделено мной)

Когда обнаруживаются уязвимости в программном обеспечении, им присваиваются идентификаторы CVE от MITRE и других организаций. Canonical проводит сортировку этих CVE, чтобы определить, затрагивают ли уязвимости программное обеспечение, которое распространяется в Ubuntu. Результаты этой сортировки затем используются для генерации CVE OVAL. CVE OVAL может быть использован для оценки локальной системы на наличие уязвимостей.

Когда команда безопасности Ubuntu исправляет программное обеспечение, чтобы устранить одну или несколько CVE, публикуется Уведомление о Безопасности Ubuntu (USN), анонсирующее обновление. Данные USN OVAL генерируются из информации, содержащейся в USN, и могут быть использованы для оценки системы на предмет отсутствующих исправлений.

Таким образом, CVE получают USN только когда они исправлены. Содержит ли последний OVAL все CVE текущих пакетов, даже те, которые еще не исправлены и, следовательно, не имеют USN, или он показывает только исправления?

Краткий ответ: Да

Файл CVE OVAL содержит больше информации, чем файл USN OVAL. Вы можете это подтвердить

CVE-2023-35936 все еще упоминает “Нужна оценка” для всех выпусков. Это означает, что CVE еще не был детально проанализирован командой безопасности для выпуска исправления.

В CVE OVAL – мы видим, что его обнаружение заключается в простой проверке, установлен ли pandoc.

$ wget https://security-metadata.canonical.com/oval/com.ubuntu.noble.cve.oval.xml.bz2
$ bunzip2 com.ubuntu.noble.cve.oval.xml.bz2
$ grep CVE-2023-35936 com.ubuntu.noble.cve.oval.xml
        <title>CVE-2023-35936 на Ubuntu 24.04 LTS (noble) - средней степени</title>
...

Логика

      <criteria>
        <extend_definition definition_ref="oval:com.ubuntu.noble:def:100" comment="Ubuntu 24.04 LTS установлена." applicability_check="true"/>
        <criteria operator="OR">
          <criterion test_ref="oval:com.ubuntu.noble:tst:2023359360000000" comment="пакет pandoc в noble подвержен воздействию и может нуждаться в исправлении."/>
        </criteria>
      </criteria>

.

Ответ или решение

Да, Ubuntu OVAL действительно включает в себя пакеты, которые имеют уязвимости (CVEs), но для которых еще не выпущены патчи и, соответственно, отсутствуют уведомления об этом (USNs). Это важный аспект, который следует учитывать при управлении безопасностью в системах на базе Ubuntu.

Как работает Ubuntu OVAL

Согласно документации Ubuntu, система OVAL (Open Vulnerability and Assessment Language) служит для отслеживания уязвимостей программного обеспечения. Уязвимости, обнаруженные в программном обеспечении, получают уникальные идентификаторы CVE (Common Vulnerabilities and Exposures) от организации MITRE и других организаций. Команда безопасности Canonical оценивает эти CVE и определяет, затрагивают ли они программное обеспечение, распространяемое в Ubuntu.

Отличие CVE OVAL от USN OVAL

  • CVE OVAL: Этот набор данных включает все CVE, которые в настоящее время существуют, даже те, для которых еще не выпущены патчи. Он служит для оценки уязвимостей в локальных системах и предоставляет разработчикам и администраторам систем информацию о потенциальных рисках, с которыми они могут столкнуться.

  • USN OVAL: Данный набор данных формируется на основе информации, содержащейся в уведомлениях безопасности (USN), и включает только те уязвимости, для которых были выпущены исправления. Это означает, что USN OVAL будет пустым относительно уязвимостей, которые еще не были зафиксированы.

Пример анализа CVE

Недавний пример, который можно привести, — это CVE-2023-35936. На сайте Ubuntu указано, что этот CVE в настоящее время находится на стадии оценки. В OVAL для данного CVE проверка основывается на том, установлен ли пакет pandoc. Это иллюстрирует, как системные администраторы могут проверять наличие уязвимостей, даже если официальных патчей еще нет.

<criteria>
  <extend_definition definition_ref="oval:com.ubuntu.noble:def:100" comment="Ubuntu 24.04 LTS is installed." applicability_check="true"/>
  <criteria operator="OR">
    <criterion test_ref="oval:com.ubuntu.noble:tst:2023359360000000" comment="pandoc package in noble is affected and may need fixing."/>
  </criteria>
</criteria>

Заключение

В свете вышесказанного, можно с уверенностью утверждать, что Ubuntu OVAL действительно предоставляет полный список уязвимых пакетов, включая те, для которых нетYet фиксированных патчей и уведомлений. Применение OVAL, особенно в сочетании с анализом CVE и USN, позволяет администраторам систем принимать обоснованные решения о безопасности и минимизировать риски, связанные с уязвимостями. Поддерживать свою систему в безопасности можно лишь с помощью регулярного мониторинга и оценки возможных рисков, связанных с новыми уязвимостями.

package-management security
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности