Me gustaría saber si había otro lugar para ver si un paquete debian está arreglando un CVE que el registro de cambios del paquete. Por ejemplo, el paquete bind9 1:9.7.2.dfsg.P3-1 está arreglando el CVE-2010-3613 aquí , ¿podemos verlo en otro lugar? Para ser más específicos, ¿podemos verlo en un lugar donde podamos calcular la lectura?
Debian proporciona una fuente para sus avisos de seguridad: enlace . Hay un enlace a cada aviso que enumera el CVE abordado por esa corrección. La lista de correo de [email protected] proporciona la misma información. Estos avisos se han declarado compatibles con CVE . El correo electrónico y las fuentes RSS son la forma más oportuna de recuperar avisos. Consulte la sección sobre avisos de seguridad en el manual para obtener más información.
Además, Debian publica una referencia cruzada de asesoría que enumera todas las advertencias con el CVE que abordan (también como ID de Bugtraq, avisos de CERT y notas de vulnerabilidad de US-CERT). MITRE también publica un mapa de referencia de CVE que enumera los CVE que aborda cada DSA.
No conozco ningún lugar "oficial" donde pueda recuperar el mapa CVE-to-package-version de una sola vez. A partir de la referencia cruzada de Debian, debe seguir los enlaces de DSA para saber qué versión del paquete trajo la solución.
