Re: debsecan [Era: Re: Problemi di sicurezza ?]
Il 31/08/2015 20:05, Davide Prina ha scritto:
> On 28/08/2015 18:21, Portobello wrote:
>
>> check-support-status
>
>> Unfortunately, it has been necessary to limit security support for some
>> packages.
>
>> Ci sono delle vulnerabilita' di cui preoccuparsi ?
>
> visto che la mia risposta non ha avuto seguito, introduco un pacchetto
> debsecan che è inerente all'argomento.
>
> # apt-get install debsecan
>
> Permette di vedere i pacchetti installati che hanno un bollettino di
> sicurezza agganciato. Per maggiori dettagli vedere il man.
>
> Per poter utilizzare il pacchetto in modo proficuo è necessario
> aggiornare il sistema:
>
> # apt-get update; apt-get -u upgrade; apt-get -u dist-upgrade
>
> a questo punto si può eseguire il comando, sarebbe meglio indicare anche
> la versione di Debian che si sta usando (non c'è la testing, quindi se
> si usa la testing probabilmente bisogna indicare sid)
>
> Per vedere le versioni di Debian usabili:
>
> $ debsecan --suite aiuto!
>
> una volta individuata la propria versione (ad esempio per jessie)
>
> $ debsecan --suite jessie
>
> si avrà l'indicazione di tutti i pacchetti installati con indicato un
> bollettino di sicurezza ed eventualmente anche la gravità della falla
> trovata.
>
> Non bisogna farsi spaventare dal lungo elenco, anche perché alcuni
> pacchetti sono ripetuti più volte, una volta per ogni bollettino.
>
> Installiamo qualche altro pacchetto, se già non lo si ha (spero di
> averli messi tutti):
>
> # apt-get install coreutils grep apt-show-versions
>
> A questo punto possiamo vedere l'elenco dei pacchetti che hanno qualcosa
> da controllare (naturalmente mettere la suite adeguata):
>
> $ debsecan --suite sid | cut -d ' ' -f 2 | sort | uniq
>
> Anche qui cosa si può fare?
>
> Prima di tutto si può individuare i pacchetti che si hanno installati,
> ma che non esistono più sui repository (ci mette un po' a scorrerli)
>
> $ for i in $(debsecan --suite sid | cut -d ' ' -f 2 | sort | uniq); do \
> if [[ $(apt-show-versions $i | grep available) != "" ]]; then \
> echo $i; fi; done
>
Questo comando mi ha dato un elenco di una decina di pacchetti obsoleti.
Li ho rimossi tutti.
> Questi pacchetti visualizzati in teoria si possono rimuovere perché non
> più presenti nei repository indicati in sources.list. Naturalmente
> bisogna fare attenzione a:
> 1) pacchetti che si sono installati a mano
> 2) pacchetti che sono stati tolti temporaneamente e che saranno rimessi poi
> 3) ...
>
> Per gli altri si può vedere se servono o meno. Potrebbero essere stati
> installati per pacchetti non più presenti (si può usare autoremove di
> apt-get o deborphan o...)
>
> Per il resto dei pacchetti si può magari vedere prima quelli rimasti con
> un urgenza alta e poi cercare di capire se la segnalazione del problema
> di sicurezza è recente o meno...
>
> In ogni caso valgono le regole dette nella mia mail precedente... non
> bisogna per forza cercare di eliminare tutti i pacchetti con bug di
> sicurezza, ma va analizzato caso per caso.
>
> Buona caccia :-)
>
Per quanto riguarda i tre pacchetti segnalati dal comando :
check-support-status
- libjavascriptcoregtk-3.0-0:amd64 (versione installata: 2.4.8-2)
- libwebkitgtk-3.0-0:amd64 (versione installata: 2.4.8-2)
- libwebkitgtk-3.0-common (versione installata: 2.4.8-2)
Non sono stati segnalati da debscan, ne' con la scansione,
debscan --suite jessie , e nemmeno con il ciclo che doveva individuare i
pacchetti che non sono piu' presenti nei repository.
> Ci sono anche altri pacchetti che permettono di fare ricerche simili di
> sicurezza... alla prossima
>
Quali sarebbero ?
Grazie
Saluti
> Ciao
> Davide
>
Reply to: