Recent ben ik naast PHP ontwikkelen op BSD begonnen op Debian Linux.
Een handige feature van BSD is de package manager 'pkg', die aangeeft of er kwetsbaarheden bekend zijn van de geïnstalleerde paketten - los van de vraag of ze opgewaardeerd kunnen worden - met het commando 'pkg audit -F'. Daarnaast worden alle bekende kwetsbaarheden gepubliceerd via XML. (https://vuxml.freebsd.org/freebsd/index.html)
Nou zou ik die feature ook graag beschikbaar hebben in Debian Linux. Maar ik kom niet verder dan een lijst met paketten die opgewaardeerd kunnen worden met het commando 'apt list --upgradeable -a'.
Er is wel een complete lijst online (https://www.cvedetails.com/vulnerability-list/vendor_id-23/product_id-36/Debian-Debian-Linux.html) maar dat gaat weer over alle paketten, en is niet in een handzaam formaat.
Ik gebruik zelf CentOS en daar gaat het makkelijker.
Ik heb even geGoogled en kwam dit tegen. Misschien kun je het eens proberen. Geen idee of het werkt.
sudo apt list --upgradable | grep "/$(lsb_release -cs)-security"
?Onbekende gebruiker
08-09-2020 08:44
Helaas had ik 'apt list --upgradable' al geprobeerd, de switch '-a' geeft alleen maar uitgebreidere informatie.
Het gaat mij vooral om op het systeem een overzicht te krijgen van bekende kwetsbaarheden, ongeacht of daar al een patch voor bestaat.
>> Helaas had ik 'apt list --upgradable' al geprobeerd
Maar je hebt deze ook geprobeerd?
sudo apt list --upgradable | grep "/$(lsb_release -cs)-security"
Gaf dat niet het gewenste resultaat?
>> Het gaat mij vooral om op het systeem een overzicht te krijgen van bekende kwetsbaarheden
Kwetsbaarheden in het algemeen? Of kwetsbaarheden op jouw systeem?
?Onbekende gebruiker
08-09-2020 16:34
sudo hoeft niet, want ik was al su. En die pipe naar grep filtert alleen de output die ik al had, daar kom ik niet veel verder mee.
Het gaat om kwetsbaarheden van mijn eigen systeem, bijvoorbeeld: 'er is een kwetsbaarheid genaamd CVE-xxxxx in library yyyy', ongeacht of apt daar al een nieuwere versie voor heeft waar die bug niet in zit.
Voor de beveiliging is dat wel handig om te weten, dan kan ik die lijst nalopen en kijken of die kwetsbaarheid eigenlijk wel van toepassing zijn in mijn geval. Want soms gebruik ik niet alle mogelijkheden van een library waardoor mijn systeem niet direct kwetsbaar is, en soms zijn er ook al workarounds bekend.
Maar de crux is dat ik het wel wil weten, anders kan ik geen actie ondernemen.
Van up to date packages is in de regel niet bekend dat ze een lek bevatten. Als het lek bekend is, wordt een update gemaakt en vervolgens wordt naar buiten gebracht dat je het pakket moet updaten.
Het gaat dus om packages die een lek bevatten en niet meer up to date zijn. Wat je dus moet doen is een lijst met beschikbare updates ophalen en daarvan zou je dan moeten vaststellen welke updates veiligheidsupdates zijn.
?Onbekende gebruiker
09-09-2020 11:07
gewijzigd op 09-09-2020 11:14
Dat is niet de werking van de package manager in BSD.
Bij het uitvoeren van 'pkg audit -F' wordt eerst de database met kwetsbaarheden opgehaald (VuXML), en wordt gekeken of er paketten geïnstalleerd zijn die kwetsbaarheden bevatten. Als dat het geval is, worden 'security advisories' gegeven, wat je ook kan doen besluiten om een pakket te deïnstalleren zolang er nog geen bijgewerkte versie voor bestaat.
- https://www.vuxml.org/freebsd/
- https://www.freebsd.org/cgi/man.cgi?query=pkg-audit&format=html
Onder (Debian) Linux krijg ik met 'apt list --upgradable' alleen een lijst met paketten waar al wél een bijgewerkte versie voor bestaat. De pakketten die wel kwetsbaar zijn, maar waarvoor nog geen update voor bestaat, worden dan niet genoemd. Dus ben je niet op de hoogte van alle bekende gevaren.
- https://manpages.debian.org/buster/apt/apt.8.nl.html
Maar ik denk dat hier niet snel een oplossing voor te vinden is omdat in (Debian) Linux de gewoonte is om informatie over kwetsbaarheden niet eerder vrij te geven dan dat er een bijgewerkte versie bestaat.
- https://www.debian.org/security/audit/auditing
Het is gewoon een keuze waar ik in mee zal moeten bij het gebruik van dit besturingssysteem.
EDIT: er valt wat op die keuze van (Debian) Linux af te dingen. Ik zou graag wel geïnformeerd willen worden als mijn systeem kwetsbaar is, zoals bij side channel attacks als Meltdown en Spectre.
Ook als daar nog geen oplossing voor is. Door gebruikers niet tijdig te informeren word een deel ontnomen van de mogelijkheid om verantwoordelijkheid te kunnen dragen.
- https://meltdownattack.com
Bij CentOS heb je specifiek een commando om security updates binnen te halen. Maar het gaat dan wel om updates.
Aangezien je zelf zo te zien alles al goed hebt uitgezocht, kan ik je helaas ook niet verder helpen :(
?Onbekende gebruiker
09-09-2020 14:00
Geen probleem, er is zo'n gezegde dat 'als het antwoord je niet bevalt, je de vraag niet moeten stellen'. Maar je reacties waren toch behulpzaam omdat ik dankzij jouw doorvragen uiteindelijk op de site van Debian het antwoord vond.
Dus toch bedankt :)
