Возможно ли, что некоторые версии Ubuntu подвержены разным уязвимостям по сравнению с соответствующей базовой версией Debian?

Вопрос или проблема

Для моей работы я использую серию устройств с установленной Debian 9 stretch. Я слышал о уязвимости rsync, которую используют наши устройства. Я прочитал в объявлении Debian, что Bullseye (11) не подвержен. Однако в объявлении на ту же тему для Ubuntu, говорится, что подверженные версии rsync – от 3.1.0 до по крайней мере 3.2.7, т.е. с 2014 года по настоящее время, поэтому я ожидаю, что и версии Debian также подвержены. Например, я вижу, что на моих устройствах используется rsync 3.1.2. Так что мой вопрос: могу ли я быть уверен, что версии Debian до Bullseye не подвержены (из-за, как я полагаю, различных патчей по сравнению с Ubuntu?), или мне следует скомпилировать новую версию rsync из исходников, чтобы быть уверенным?

Большинство пакетов в Ubuntu и Debian идентичны, но конкретный выпуск Ubuntu не наследуется от конкретного выпуска Debian, поэтому нет общего правила, позволяющего соотнести информацию о уязвимостях между ними.

Чтобы понять эту конкретную ситуацию, вам нужно сравнить уязвимости, перечисленные в различных объявлениях. Объявление Debian micronews, на которое вы ссылаетесь, касается именно CVE-2024-12084, тогда как объявление Ubuntu охватывает ряд уязвимостей rsync.

Как упомянуто в объявлении Ubuntu, CVE-2024-12084 затрагивает только версии 3.2.7 и выше, и трекер безопасности Debian для этой уязвимости правильно определяет различные версии.

Поскольку вы рассматриваете Debian 11 (как лучший доступный прокси для оценки усилий, необходимых для поддержания Debian 9, как я предполагаю), обратите внимание, что rsync получил ряд обновлений безопасности там (см. соответствующий changelog). rsync все еще поддерживается в Debian 9 через ELTS, и был обновлен для устранения недавних уязвимостей (с дополнительным обновлением для исправления регрессий). Также смотрите репозиторий безопасности для Debian stretch больше не работает.

Ответ или решение

Вопрос, касающийся потенциальных уязвимостей различных версий Ubuntu и Debian, приводит нас к обсуждению наследования пакетов и различий в поддержке дистрибутивов. Несмотря на то что большинство пакетов в Ubuntu и Debian идентичны, их пути развития различаются, что может приводить к различиям в наличии уязвимостей и способах их исправления. Это различие обуславливает необходимость тщательного анализа и верификации уязвимостей, чтобы гарантировать безопасность систем.

Теория: Ubuntu часто позиционируется как дистрибутив, основанный на тестируемых и проверенных версиях пакетов из Debian, однако разветвленное наследование и индивидуальная поддержка вносят свои изменения. Ubuntu имеет собственную политику обновления и исправления уязвимостей, которая может отличаться от Debian, в том числе и по срокам и по методам внедрения исправлений. Как следствие, у конкретных пакетов, таких как rsync, могут быть уникальные для Ubuntu уязвимости, которые отсутствуют в Debian, и наоборот.

Пример: Рассмотрим конкретные уязвимости rsync, о которых вы упомянули в своем вопросе. CVE-2024-12084, по заявлению Ubuntu, влияет на версии начиная с 3.2.7, в то время как Debian в своей микроновости лишь уточняет, что Bullseye (версия 11) не затронут данной проблемой. Это может создать впечатление о расхождении в данных о безопасности между двумя дистрибутивами. В то время как Ubuntu опубликовала информацию о наборе уязвимостей, затрагивающих rsync в более широком временном диапазоне версий (3.1.0 – 3.2.7), Debian акцентирует внимание на том, что их старые версии не подвержены конкретной CVE-2024-12084.

Применение: В связи с вышеизложенным, вашему конкретному случаю с устройствами на базе Debian 9 следует уделить особое внимание. Учитывая, что rsync 3.1.2, используемый вашими устройствами, попадает в объявленный уязвимый диапазон по версии Ubuntu, но находит подтверждение о его безопасности по версии Debian, рекомендуется предпринять следующие шаги:

Проверка текущих исправлений: Убедитесь, что ваша версия rsync имеет все доступные обновления безопасности, предоставленные через каналы поддержки Debian. Например, Debian 9 все еще получает обновления через расширенную поддержку LTS (ELTS).
Сравнительный анализ безопасности: Посетите трекеры безопасности как Debian, так и Ubuntu, чтобы свериться с их информацией о наличии и приручении уязвимостей. Используйте такие ресурсы, как Debian Security Tracker и Ubuntu Security Notices.
Рассмотрение обновления: Подумайте о том, чтобы обновить ваши системы до более новой версии Debian или пересобрать rsync из исходников, особенно если ошибка критична для вашей инфраструктуры. Таким образом, вы получаете возможность внести собственные изменения и исправления, которые могут быть еще не интегрированы в официальные репозитории.
Мониторинг и подготовка к инцидентам: Регулярно мониторьте системы на наличие несанкционированной активности и подготовьте план реагирования на инциденты.
Профессиональная консультация: При необходимости обратитесь за консультацией к специалистам по безопасности или вендорам, которые могут предложить решения в соответствии с вашими требованиями.

Таким образом, будучи системным администратором или инженером по безопасности, важно помнить о различиях в управлении версиями и безопасности между Debian и Ubuntu, чтобы обеспечить надежную защиту ваших систем. Ваша задача — не просто следовать обновлениям, но и активно управлять рисками, связанными с уязвимостями в используемом программном обеспечении, для обеспечения более стабильной и защищенной ИТ-инфраструктуры.