Alternatief voor VuXML

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Ad Fundum

Ad Fundum

04/09/2020 10:03:20
Quote Anchor link
Beste lezer,

Recent ben ik naast PHP ontwikkelen op BSD begonnen op Debian Linux.

Een handige feature van BSD is de package manager 'pkg', die aangeeft of er kwetsbaarheden bekend zijn van de geïnstalleerde paketten - los van de vraag of ze opgewaardeerd kunnen worden - met het commando 'pkg audit -F'. Daarnaast worden alle bekende kwetsbaarheden gepubliceerd via XML. (https://vuxml.freebsd.org/freebsd/index.html)

Nou zou ik die feature ook graag beschikbaar hebben in Debian Linux. Maar ik kom niet verder dan een lijst met paketten die opgewaardeerd kunnen worden met het commando 'apt list --upgradeable -a'.
Er is wel een complete lijst online (https://www.cvedetails.com/vulnerability-list/vendor_id-23/product_id-36/Debian-Debian-Linux.html) maar dat gaat weer over alle paketten, en is niet in een handzaam formaat.

Heeft iemand een suggestie?
 
PHP hulp

PHP hulp

26/09/2021 03:20:23
 
Ozzie PHP

Ozzie PHP

04/09/2020 15:23:23
Quote Anchor link
Ik gebruik zelf CentOS en daar gaat het makkelijker.

Ik heb even geGoogled en kwam dit tegen. Misschien kun je het eens proberen. Geen idee of het werkt.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
sudo apt list --upgradable | grep "/$(lsb_release -cs)-security"
 
Ad Fundum

Ad Fundum

08/09/2020 08:44:53
Quote Anchor link
Helaas had ik 'apt list --upgradable' al geprobeerd, de switch '-a' geeft alleen maar uitgebreidere informatie.
Het gaat mij vooral om op het systeem een overzicht te krijgen van bekende kwetsbaarheden, ongeacht of daar al een patch voor bestaat.
 
Ozzie PHP

Ozzie PHP

08/09/2020 12:18:41
Quote Anchor link
>> Helaas had ik 'apt list --upgradable' al geprobeerd

Maar je hebt deze ook geprobeerd?

sudo apt list --upgradable | grep "/$(lsb_release -cs)-security"

Gaf dat niet het gewenste resultaat?

>> Het gaat mij vooral om op het systeem een overzicht te krijgen van bekende kwetsbaarheden

Kwetsbaarheden in het algemeen? Of kwetsbaarheden op jouw systeem?
 
Ad Fundum

Ad Fundum

08/09/2020 16:34:31
Quote Anchor link
sudo hoeft niet, want ik was al su. En die pipe naar grep filtert alleen de output die ik al had, daar kom ik niet veel verder mee.

Het gaat om kwetsbaarheden van mijn eigen systeem, bijvoorbeeld: 'er is een kwetsbaarheid genaamd CVE-xxxxx in library yyyy', ongeacht of apt daar al een nieuwere versie voor heeft waar die bug niet in zit.

Voor de beveiliging is dat wel handig om te weten, dan kan ik die lijst nalopen en kijken of die kwetsbaarheid eigenlijk wel van toepassing zijn in mijn geval. Want soms gebruik ik niet alle mogelijkheden van een library waardoor mijn systeem niet direct kwetsbaar is, en soms zijn er ook al workarounds bekend.

Maar de crux is dat ik het wel wil weten, anders kan ik geen actie ondernemen.
 
Ozzie PHP

Ozzie PHP

08/09/2020 16:45:39
Quote Anchor link
Oké ... maar het gaat dus in feite om packages die niet up to date zijn op jouw systeem en waarin een veiligheidslek is geconstateerd. Correct?
 
Ad Fundum

Ad Fundum

08/09/2020 22:53:36
Quote Anchor link
Het gaat om packages die op mijn systeem staan en up to date zijn en waar een veiligheidslek in is geconstateerd.
 
Ozzie PHP

Ozzie PHP

09/09/2020 00:02:49
Quote Anchor link
Van up to date packages is in de regel niet bekend dat ze een lek bevatten. Als het lek bekend is, wordt een update gemaakt en vervolgens wordt naar buiten gebracht dat je het pakket moet updaten.

Het gaat dus om packages die een lek bevatten en niet meer up to date zijn. Wat je dus moet doen is een lijst met beschikbare updates ophalen en daarvan zou je dan moeten vaststellen welke updates veiligheidsupdates zijn.
Gewijzigd op 09/09/2020 00:05:23 door Ozzie PHP
 
Ad Fundum

Ad Fundum

09/09/2020 11:07:18
Quote Anchor link
Dat is niet de werking van de package manager in BSD.

Bij het uitvoeren van 'pkg audit -F' wordt eerst de database met kwetsbaarheden opgehaald (VuXML), en wordt gekeken of er paketten geïnstalleerd zijn die kwetsbaarheden bevatten. Als dat het geval is, worden 'security advisories' gegeven, wat je ook kan doen besluiten om een pakket te deïnstalleren zolang er nog geen bijgewerkte versie voor bestaat.
- https://www.vuxml.org/freebsd/
- https://www.freebsd.org/cgi/man.cgi?query=pkg-audit&format=html

Onder (Debian) Linux krijg ik met 'apt list --upgradable' alleen een lijst met paketten waar al wél een bijgewerkte versie voor bestaat. De pakketten die wel kwetsbaar zijn, maar waarvoor nog geen update voor bestaat, worden dan niet genoemd. Dus ben je niet op de hoogte van alle bekende gevaren.
- https://manpages.debian.org/buster/apt/apt.8.nl.html

Maar ik denk dat hier niet snel een oplossing voor te vinden is omdat in (Debian) Linux de gewoonte is om informatie over kwetsbaarheden niet eerder vrij te geven dan dat er een bijgewerkte versie bestaat.
- https://www.debian.org/security/audit/auditing

Het is gewoon een keuze waar ik in mee zal moeten bij het gebruik van dit besturingssysteem.

EDIT: er valt wat op die keuze van (Debian) Linux af te dingen. Ik zou graag wel geïnformeerd willen worden als mijn systeem kwetsbaar is, zoals bij side channel attacks als Meltdown en Spectre.
Ook als daar nog geen oplossing voor is. Door gebruikers niet tijdig te informeren word een deel ontnomen van de mogelijkheid om verantwoordelijkheid te kunnen dragen.
- https://meltdownattack.com
Gewijzigd op 09/09/2020 11:14:23 door Ad Fundum
 
Ozzie PHP

Ozzie PHP

09/09/2020 13:57:01
Quote Anchor link
Bij CentOS heb je specifiek een commando om security updates binnen te halen. Maar het gaat dan wel om updates.

Aangezien je zelf zo te zien alles al goed hebt uitgezocht, kan ik je helaas ook niet verder helpen :(
 
Ad Fundum

Ad Fundum

09/09/2020 14:00:25
Quote Anchor link
Geen probleem, er is zo'n gezegde dat 'als het antwoord je niet bevalt, je de vraag niet moeten stellen'. Maar je reacties waren toch behulpzaam omdat ik dankzij jouw doorvragen uiteindelijk op de site van Debian het antwoord vond.
Dus toch bedankt :)
 
Ozzie PHP

Ozzie PHP

09/09/2020 15:54:17
Quote Anchor link
Ah nou gelukkig, is het toch nog ergens goed voor geweest :-) Graag gedaan!
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.