debsecan [Era: Re: Problemi di sicurezza ?]
On 28/08/2015 18:21, Portobello wrote:
check-support-status
Unfortunately, it has been necessary to limit security support for some
packages.
Ci sono delle vulnerabilita' di cui preoccuparsi ?
visto che la mia risposta non ha avuto seguito, introduco un pacchetto
debsecan che è inerente all'argomento.
# apt-get install debsecan
Permette di vedere i pacchetti installati che hanno un bollettino di
sicurezza agganciato. Per maggiori dettagli vedere il man.
Per poter utilizzare il pacchetto in modo proficuo è necessario
aggiornare il sistema:
# apt-get update; apt-get -u upgrade; apt-get -u dist-upgrade
a questo punto si può eseguire il comando, sarebbe meglio indicare anche
la versione di Debian che si sta usando (non c'è la testing, quindi se
si usa la testing probabilmente bisogna indicare sid)
Per vedere le versioni di Debian usabili:
$ debsecan --suite aiuto!
una volta individuata la propria versione (ad esempio per jessie)
$ debsecan --suite jessie
si avrà l'indicazione di tutti i pacchetti installati con indicato un
bollettino di sicurezza ed eventualmente anche la gravità della falla
trovata.
Non bisogna farsi spaventare dal lungo elenco, anche perché alcuni
pacchetti sono ripetuti più volte, una volta per ogni bollettino.
Installiamo qualche altro pacchetto, se già non lo si ha (spero di
averli messi tutti):
# apt-get install coreutils grep apt-show-versions
A questo punto possiamo vedere l'elenco dei pacchetti che hanno qualcosa
da controllare (naturalmente mettere la suite adeguata):
$ debsecan --suite sid | cut -d ' ' -f 2 | sort | uniq
Anche qui cosa si può fare?
Prima di tutto si può individuare i pacchetti che si hanno installati,
ma che non esistono più sui repository (ci mette un po' a scorrerli)
$ for i in $(debsecan --suite sid | cut -d ' ' -f 2 | sort | uniq); do \
if [[ $(apt-show-versions $i | grep available) != "" ]]; then \
echo $i; fi; done
Questi pacchetti visualizzati in teoria si possono rimuovere perché non
più presenti nei repository indicati in sources.list. Naturalmente
bisogna fare attenzione a:
1) pacchetti che si sono installati a mano
2) pacchetti che sono stati tolti temporaneamente e che saranno rimessi poi
3) ...
Per gli altri si può vedere se servono o meno. Potrebbero essere stati
installati per pacchetti non più presenti (si può usare autoremove di
apt-get o deborphan o...)
Per il resto dei pacchetti si può magari vedere prima quelli rimasti con
un urgenza alta e poi cercare di capire se la segnalazione del problema
di sicurezza è recente o meno...
In ogni caso valgono le regole dette nella mia mail precedente... non
bisogna per forza cercare di eliminare tutti i pacchetti con bug di
sicurezza, ma va analizzato caso per caso.
Buona caccia :-)
Ci sono anche altri pacchetti che permettono di fare ricerche simili di
sicurezza... alla prossima
Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione contro i brevetti software in Europa:
http://petition.stopsoftwarepatents.eu/
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: