উবুন্টু সাধারণত সময়োপযোগী সুরক্ষা আপডেটগুলি পোস্ট করে?

কংক্রিট ইস্যু: স্বপ্নবিষয়ক nginx প্যাকেজ , সংস্করণ 1.0.5-1 এ অনুযায়ী জুলাই 2011 সালে মুক্তি পরিবর্তণের ।

সাম্প্রতিক মেমরি-প্রকাশের দুর্বলতা ( উপদেষ্টা পৃষ্ঠা , সিভিই -২০১২-১৮০০ , ডিএসএ -৪৪৪-1-১ ) 1.0.5-1-এ স্থির নয়। আমি যদি উবুন্টু সিভিই পৃষ্ঠাটি অপ্রকাশিত না করে থাকি তবে সমস্ত উবুন্টু সংস্করণগুলি একটি দুর্বল এনজিনেক্স প্রেরণ করবে বলে মনে হচ্ছে।

1. এটা কি সত্য?

   যদি তাই হয়: আমি ভেবেছিলাম ক্যানোনিকালে এমন একটি সুরক্ষা দল ছিল যা সক্রিয়ভাবে এই জাতীয় বিষয়ে কাজ করে, তাই আমি আশা করি খুব অল্প সময়সীমার মধ্যে (ঘন্টা বা দিন) এর মধ্যে একটি সুরক্ষা আপডেট পাব apt-get update।

2. এই প্রত্যাশাটি কি - আমার প্যাকেজগুলি আপ টু ডেট রাখার ফলে আমার সার্ভারটি জানা দুর্বলতাগুলি আটকাতে পারে - সাধারণত ভুল?

3. যদি তাই হয়: এটিকে সুরক্ষিত রাখতে আমার কী করা উচিত? পড়া উবুন্টু নিরাপত্তা নোটিশ এই ক্ষেত্রে সাহায্য করা যেত যেমন nginx দুর্বলতার সেখানে কখনো পোস্ট করা হয়েছে।

উবুন্টু বর্তমানে চারটি উপাদানে বিভক্ত: মূল, সীমাবদ্ধ, মহাবিশ্ব এবং মাল্টিভার্স rs উবুন্টু মুক্তির জীবনযাপনের জন্য মূল এবং সীমাবদ্ধ প্যাকেজগুলি উবুন্টু সুরক্ষা দল সমর্থন করে, যখন মহাবিশ্ব এবং মাল্টিভারসে প্যাকেজগুলি উবুন্টু সম্প্রদায় সমর্থন করে। দেখুন নিরাপত্তা দল প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী আরও তথ্যের জন্য।

যেহেতু এনগিনেক্স ইউনিভার্স উপাদানটিতে রয়েছে তাই এটি সুরক্ষা টিমের কাছ থেকে আপডেট পান না। এই প্যাকেজে সুরক্ষা সংক্রান্ত সমস্যাগুলি ঠিক করা সম্প্রদায়ের উপর নির্ভর করে। সঠিক প্রক্রিয়া জন্য এখানে দেখুন ।

ubuntu-support-statusকোন প্যাকেজগুলি আনুষ্ঠানিকভাবে সমর্থিত তা নির্ধারণ করতে এবং কতক্ষণের জন্য আপনি সফ্টওয়্যার সেন্টার বা কমান্ড লাইন সরঞ্জামটি ব্যবহার করতে পারেন ।

ভবিষ্যতে থেকে আপডেট : nginx প্রধান তাই থেকে সরানোর হয় হবে যে সময়ে উবুন্টু সিকিউরিটি টিমের পক্ষ থেকে সমর্থন পাবেন। আপনার সংস্করণটি কিনা তা সম্পর্কে আপনি যদি অনিশ্চিত হন apt-cache show nginxতবে কেবল "বিভাগ" ট্যাগটি দেখুন এবং সন্ধান করুন। যখন এটি মেইন এ থাকে, আপনি এর জন্য ক্যানোনিকাল সমর্থন পাচ্ছেন।

সুনির্দিষ্টভাবে পিপিএ-তে থাকা এনজিনেক্স প্যাকেজটি এখানে রয়েছে Version 1.1.17-2 uploaded on 2012-03-19।

আপনার যদি এমন সিভিইগুলির জন্য এমন প্যাচগুলির প্রয়োজন হয় যা এখনও প্রার্থী রয়েছে এবং স্বীকৃত নয়, আপনি প্যাপাস যুক্ত করার কথা বিবেচনা করতে পারেন ।

এই বিশেষ প্যাকেজ এবং বাগে প্যাকেজ বাগ ট্র্যাকারের কিছু নোট রয়েছে ।

উবুন্টু 'মেইন' ভান্ডারের ভিতরে থাকা প্যাকেজগুলি সক্রিয়ভাবে ক্যানোনিকাল দ্বারা আপ টু ডেট রয়েছে। (ডিফল্ট ইনস্টলেশন অংশ হতে, একটি প্যাকেজ প্রধান ভিতরে থাকা আবশ্যক।)

তবে, এনগিনেক্সের মতো প্যাকেজগুলির জন্য, যা "মহাবিশ্ব" -এ রয়েছে তবে আমি সময়োপযোগী সুরক্ষা আপডেটের আশা করবো না। কারণ এই প্যাকেজগুলি ক্যানোনিকাল পরিবর্তে স্বেচ্ছাসেবীদের দ্বারা পরিচালিত হয়। ক্যানোনিকাল মহাবিশ্বে বিদ্যমান কয়েক হাজার প্যাকেজ ক্রমাগত নিরীক্ষণ করা আশা করা যুক্তিসঙ্গত হবে না।

উবুন্টুর মতো ডেবিয়ান ভিত্তিক বিতরণগুলিতে থাকা প্যাকেজগুলির জন্য, সিকিউরিটি প্যাচগুলি বর্তমান রিলিজটিতে ব্যাক-পোর্ট করা আছে। রিলিজ সংস্করণগুলি আপডেট হয় না কারণ এটি বেমানান বৈশিষ্ট্যগুলি প্রবর্তন করতে পারে। পরিবর্তে সুরক্ষা দল (বা প্যাকেজ রক্ষণাবেক্ষণকারী) সুরক্ষা প্যাচটি বর্তমান সংস্করণে একটি প্যাচড সংস্করণ প্রকাশ করবে।

1. উবুন্টু সুরক্ষা দলটি সমর্থন না করায় বর্তমানে মোতায়েন করা সংস্করণটি দুর্বল হতে পারে। এর অর্থ এই নয় যে প্যাকেজ রক্ষণাবেক্ষণকারী এটি প্যাচ করেছে বলে এটি দুর্বল। পরীক্ষা করে দেখুন changelogযে /usr/share/doc/nginxডিরেক্টরির কিনা দেখতে নিরাপত্তা প্যাচ ব্যাক-পোর্ট করা হয়েছে। তা না হলে প্যাচ প্রক্রিয়াধীন হতে পারে এবং পরীক্ষার রিলিজে উপলব্ধ।

2. আপনি ধরে নিচ্ছেন যে আপনার সার্ভারটি আপ টু ডেট রাখার ফলে আপনি অনিরাপদ সফ্টওয়্যারটি চলমান সময়কে উল্লেখযোগ্যভাবে হ্রাস করবে। এমন প্যাকেজ রয়েছে যা স্বয়ংক্রিয়ভাবে ডাউনলোড এবং installচ্ছিক ইনস্টল আপডেটগুলি কনফিগার করা যেতে পারে। এটি কোন প্যাচগুলি ইনস্টল করা হয়েছে বা ইনস্টলেশনের জন্য প্রস্তুত রয়েছে তাও জানাতে পারে।

3. সুরক্ষা দল দ্বারা সমর্থিত নয় এমন প্যাকেজগুলির জন্য, আপনি যে কোনও অসামান্য সুরক্ষা ইস্যুতে মনোযোগ দিতে চাইতে পারেন। সমস্ত সিস্টেমে সমস্ত দুর্বলতা শোষণযোগ্য না হওয়ায় ঝুঁকির মূল্যায়ন করুন। কিছু হতে পারে কনফিগারেশন নির্ভর বা স্থানীয় অ্যাক্সেস প্রয়োজন। অন্যরা অন্যান্য সমস্যা ছাড়াই তাত্পর্যপূর্ণ নাও হতে পারে, উদাহরণস্বরূপ, গেমসের উচ্চ স্কোর ফাইলটি প্রতিস্থাপনের জন্য একটি রেসের শর্তকে কাজে লাগানো।