¿Eso no hace que el simple hecho de actualizar una instancia de Linux recién instalada sea insegura, ya que el gestor de paquetes inicialmente instalado es vulnerable? ¿Me estoy perdiendo algo?
Por ejemplo, la fecha actual de la imagen de Ubuntu 15.10 del 21 de octubre ( enlace ) y la fecha de la imagen de Fedora 23 el 30 de octubre ( enlace ). ¿Por qué es eso?
Este aviso de seguridad de Ubuntu dice que la versión 15.10 está afectada: enlace , pero la imagen de instalación no Parece que no se han actualizado desde que se lanzó por primera vez.
Mi preocupación es la siguiente: según tengo entendido, cualquier aplicación que utilice glibc para realizar consultas de DNS es vulnerable, el administrador de paquetes tiene que realizar consultas de DNS para encontrar duplicados y se ejecuta como root, y la vulnerabilidad ya se conoce por un tiempo.
¿apt y RPM utilizan una biblioteca diferente para realizar sus consultas de DNS, o existen algunas defensas para evitar que esta vulnerabilidad sea explotada?
¿Es que los equipos de seguridad de las distribuciones simplemente no pueden hacer frente a la cantidad de vulnerabilidades descubiertas todos los días, es decir, "¿Usando una computadora? ¡Espere troyanos / rootkits!" ¿La realidad de la seguridad informática debe ser aceptada?