CentOS Security Tracker

Navega tus respuestas
9

La mayoría de las distribuciones de Linux proporcionan una página donde puede comprobar si el paquete más reciente tiene alguna vulnerabilidad de seguridad y en qué versión está solucionada.

Entiendo que CentOS deriva la mayoría de sus paquetes de RHEL, que tiene ese tipo de página aquí: enlace

Desafortunadamente, aunque parece que CentOS toma los números de versión de RHEL y los cambia, por lo que no es posible verificar de qué versión base del paquete RHEL proviene y si un CVE en particular está arreglado en el paquete de CentOS.

Como ejemplo, ¿alguien puede decirme qué versión de OpenSSH en CentOS corrige CVE-2014-2653? ¿Existe una manera fácil (similar al sitio de Red Hat) para encontrar esa información para cualquier CVE y cualquier paquete de CentOS?

    
pregunta TimC 28.01.2015 - 11:35
fuente

1 respuesta

4

Por lo tanto, parece que la errata de Red Hat y la errata de CentOS son los mismos números.

Este es el formato de Red Hat: 

 RHSA-YYYY-####

Y este es el formato de CentOS: 

 CESA-YYYY:####

Donde #### es el mismo número para ambos. Entonces, para resolver tu pregunta de ejemplo, esto es lo que hice:

  1. Fui al sitio de RedHat y busqué el número CVE. Esto me llevó a la página CVE que enlazaba con la errata RHSA-2014-1552

  2. CentOS libera sus erratas en una lista de correo archivada públicamente. En ese correo electrónico, tienen el número de "Aviso de seguridad y erratas de CentOS" y el paquete que cargaron para solucionarlo. Ahora uso la magia de Google y busco "CESA-2014: 1552". site: lists.centos.org es opcional, ya que debe ser el primer resultado independientemente de la restricción de dominio. La búsqueda me lleva a este correo electrónico que enumera las actualizaciones de los paquetes OpenSSH. Haga clic en el enlace de la lista.

No es tan fácil como buscar en un repositorio central en línea (que CentOS lamentablemente no tiene), pero se puede obtener del punto A al B sin demasiado trabajo.

    
respondido por el Ohnana 30.01.2015 - 15:07
fuente

Lea otras preguntas en las etiquetas

¿Qué significa Specter para la computación en la nube pública? ¿Cómo se actualizan los servidores raíz con mi servidor de nombres? ¿La información WhoIS siempre está sincronizada con la raíz?