通过 Common Vulnerabilities and Exposures (CVE) 号查找软件包更新?

Solution Verified - Updated -

Environment

  • 红帽客户门户网站

Issue

  • 怎样通过相关 Common Vulnerabilities and Exposures (CVE) 号查找软件包更新?
  • 怎样判断某个CVE 是否影响到 Red Hat Enterprise Linux 软件包?
  • 在哪能够找到关于某个特定 CVE 的更多信息?
  • 如何判断已安装的包是否经过CVE修复?

Resolution

Common Vulnerabilities and Exposures (简称 CVE)提供了标准的、独立于特定厂商的信息安全问题(例如,安全漏洞)的名称。CVE 会在与安全相关的信息中使用,如 红帽勘误(Red Hat errata),其它厂商的安全公告,以及程序错误跟踪系统。系统和网络管理员们经常被要求针对某个特定的CVE名来为他们的系统打补丁。有很多方法可以判断某个软件包是否受某个特定CVE的影响,或是否已经收到了相应的CVE修复:
* 使用 Red Hat CVE Database 浏览或搜索某个 CVE,查看 MITRE CVE dictionary 如何对相关问题的描述,查看 Common Vulnerability Scoring System (CVSS) metrics,以及对此问题的解决方案。

查找受特定 CVE 影响的软件包:

  1. 在数据库中搜索 CVE 号。
  2. 在结果页中查看安全信息,包括影响的严重级别、相关的 Bugzilla 链接、安全勘误。
  3. 如果已存在,则可以通过公告页的 Affected Packages State 部分下载软件包。也可以使用 Package Browser 工具找到特定的软件包。

注意: 不是所有的 CVE 公告都会通过红帽勘误解决。在一些情况下,可以使用一个更新的软件包。点软件包进行验证。

  • 在 Red Hat Subscription Management (RHSM) 中打开 errata page。使用 synopsis 进行过滤。

  • 如果 CVE 数据库和 RHSM 没有提供足够的信息,请参阅 Red Hat Bugzilla。其中与安全问题相关的 bug 报告会使用 CVE 名。

  • yum-security 软件包(包括在 Red Hat Enterprise Linux 5.1 和更新的版本中)提供了 yum-security yum 插件,您可以使用它来只安装与安全相关的更新。详细信息请参阅 Red Hat Enterprise Linux 6 Deployment Guide

关于安全问题严重性的分级,请参阅 CVSS base metrics

在可能的情况下,红帽会通过“backporting”的方式解决安全问题。相关信息,请参阅红帽客户门户网站中的 [backporting policy] (https://access.redhat.com/site/security/updates/backporting/)。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Close

Welcome! Check out the Getting Started with Red Hat page for quick tours and guides for common tasks.