, я вижу на cve.mitre.org что пакет OpenLDAP (slapd)имеет множество уязвимостей до 2.4.57
.
Если я хочу установить OpenLDAP из официальных репозиториев на свой Debian 10, какая версия slapd/oldstable,oldstable 2.4.47+dfsg-3+deb10u6 amd64
.
Переносятся ли исправления безопасности для этих CVE обратно в эту 2.4.47
версию, или мне нужно взять последнюю версию(2.6.x
)с официального веб-сайта и установить ее из исходного кода, чтобы избавиться от этих CVE?
Спасибо.
Обычно пакеты исправляются против проблем с безопасностью, независимо от их версии. Поэтому, если вы видите что-то вроде "В OpenLDAP была обнаружена уязвимость до версии 2.4.57...", и в вашей системе установлена версия 2.4.49, это не обязательно (в большинстве случаев:она просто не работает. 't)означает, что ваш сервер уязвим, при условии, конечно, что ваш пакет взят из официального репозитория Debian.
Вы можете проверить, исправлена ли в пакете определенная уязвимость, в системе отслеживания ошибок безопасности Debian . Есть ссылки для проверки уязвимых на данный момент пакетов, но вы можете найти пакет или CVE ID (в нижней части страницы)и проверить, исправлена ли определенная уязвимость или нет.
Если вы хотите увидеть пакет, вы должны указать исходный пакет, а не тот, который вы устанавливаете. Например, для slapd
исходный пакет называется openldap
, поэтому вы должны использовать его при перечислении уязвимостей. Источник данного пакета можно запросить с помощью следующей команды:
apt-cache show (package) | grep Source: