Как найти уязвимые пакеты в Arch Linux
Всегда рекомендуется поддерживать вашу ОС и все пакеты в актуальном состоянии. Поскольку Arch Linux является скользящим выпуском, пользователи Arch могут получать исправления и обновления программного обеспечения каждые несколько дней, чем другие дистрибутивы с фиксированными выпусками. Однако иногда пользователи не могут обновить свою систему Arch из-за недостаточного количества данных в Интернете, или им просто лень обновлять систему, или они не хотят использовать обновление, опасаясь, что это может сломать их систему. Если вы не часто обновляете Arch Linux, вам необходимо время от времени проверять его на наличие уязвимостей. Поэтому, если есть какие-либо уязвимости высокого риска, вы можете немедленно обновить систему. Вот тут-то и пригодится инструмент Арх-аудит. Это поможет вам найти уязвимые пакеты в Arch Linux и его производных, таких как Manjaro Linux.
Arch-audit — это такая же утилита, как и pkg-audit, основанная на данных группы мониторинга Arch CVE (Common Vуязвимости и Exposures). Группа мониторинга Arch CVE (ACMT) — это группа добровольцев, которые помогают выявлять и уведомлять пакеты с уязвимостями безопасности в Arch Linux. Основная цель ACMT — найти ошибки во всех пакетах и уведомить разработчиков о наличии уязвимостей. Помните, что утилита Arch-audit самостоятельно не найдет уязвимостей. Он просто проанализирует страницу https://security.archlinux.org/ и отобразит результаты в терминале. Это не имеет ничего общего с ложными результатами.
В этом кратком руководстве мы увидим, как найти уязвимые пакеты в Arch Linux с помощью утилиты Arch-audit.
Архи-аудит доступен в репозитории сообщества. Итак, вы можете установить его с помощью pacman, как показано ниже.
sudo pacman -S arch-audit
После установки выполните следующую команду, чтобы найти уязвимые пакеты:
arch-audit
Пример вывода:
Package binutils is affected by CVE-2017-17126, CVE-2017-17125, CVE-2017-17124, CVE-2017-17123, CVE-2017-17122, CVE-2017-15996, CVE-2017-15025, CVE-2017-15024, CVE-2017-15023, CVE-2017-15022, CVE-2017-15021, CVE-2017-15020. High risk!
Package cairo is affected by CVE-2017-7475. Low risk!
Package emacs is affected by CVE-2017-1000383. Medium risk!
Package exiv2 is affected by CVE-2017-11592, CVE-2017-11591, CVE-2017-11553, CVE-2017-17725, CVE-2017-17724, CVE-2017-17723, CVE-2017-17722. Medium risk!
Package lib32-libxml2 is affected by CVE-2018-9251. Medium risk!
Package libffi is affected by CVE-2017-1000376. High risk!
Package libxml2 is affected by CVE-2018-9251. Medium risk!
Package linux is affected by CVE-2018-3646, CVE-2018-3620, CVE-2018-3615, CVE-2018-8897, CVE-2017-5753, CVE-2017-5715, CVE-2018-1121, CVE-2018-1120. High risk!
Package openssh is affected by CVE-2018-15473. Medium risk!
Package patch is affected by CVE-2018-6952, CVE-2018-6951, CVE-2018-1000156. High risk!
Package pcre is affected by CVE-2017-11164. Low risk!
Package podofo is affected by CVE-2017-7994, CVE-2017-7383, CVE-2017-7382, CVE-2017-7381, CVE-2017-7380, CVE-2017-7379, CVE-2017-7378, CVE-2017-6842, CVE-2017-6841, CVE-2017-6840. High risk!
Package systemd is affected by CVE-2018-6954. Medium risk!
Package unzip is affected by CVE-2018-1000035. Medium risk!
Package zsh is affected by CVE-2018-13259, CVE-2018-0502. Low risk!
Как вы заметили в приведенном выше выводе, существует множество пакетов с низким, средним и высоким риском.
Чтобы отображать только имена уязвимых пакетов и их версии, используйте флаг -q, как показано ниже:
arch-audit -q
binutils
cairo
emacs
exiv2
lib32-libxml2
libffi
libxml2
linux
openssh
patch
pcre
podofo
systemd
unzip
zsh
Чтобы показать только уже исправленные пакеты, используйте флаг -u:
$ arch-audit -qu
bluez>=5.46-2
chromium>=61.0.3163.79-1
curl>=7.55-1
ffmpeg>=1:3.3.4-1
ffmpeg2.8>=2.8.13-1
flashplugin>=26.0.0.151-1
lib32-expat>=2.2.2-1
lib32-libgcrypt>=1.8.1-1
libgcrypt>=1.8.1-1
libsoup>=2.58.2-1
linux>=4.12.13-1
newsbeuter>=2.9-7
webkit2gtk>=2.16.6-1
xorg-server>=1.19.3-3
Перечисленные выше пакеты уже исправлены разработчиками.
Вам необходимо как можно скорее обновить пакеты высокого и критического риска. Однако я рекомендую вам обновить их все, просто выполнив следующую команду:
sudo pacman -Syu
Более подробную информацию об Arch-audit можно найти на страницах руководства.
man arch-audit
Ресурс:
- Архив-аудит в репозитории GitHub