Il 31/08/2015 20:05, Davide Prina ha scritto: > On 28/08/2015 18:21, Portobello wrote: > >> check-support-status > >> Unfortunately, it has been necessary to limit security support for some >> packages. > >> Ci sono delle vulnerabilita' di cui preoccuparsi ? > > visto che la mia risposta non ha avuto seguito, introduco un pacchetto > debsecan che è inerente all'argomento. > > # apt-get install debsecan > > Permette di vedere i pacchetti installati che hanno un bollettino di > sicurezza agganciato. Per maggiori dettagli vedere il man. > > Per poter utilizzare il pacchetto in modo proficuo è necessario > aggiornare il sistema: > > # apt-get update; apt-get -u upgrade; apt-get -u dist-upgrade > > a questo punto si può eseguire il comando, sarebbe meglio indicare anche > la versione di Debian che si sta usando (non c'è la testing, quindi se > si usa la testing probabilmente bisogna indicare sid) > > Per vedere le versioni di Debian usabili: > > $ debsecan --suite aiuto! > > una volta individuata la propria versione (ad esempio per jessie) > > $ debsecan --suite jessie > > si avrà l'indicazione di tutti i pacchetti installati con indicato un > bollettino di sicurezza ed eventualmente anche la gravità della falla > trovata. > > Non bisogna farsi spaventare dal lungo elenco, anche perché alcuni > pacchetti sono ripetuti più volte, una volta per ogni bollettino. > > Installiamo qualche altro pacchetto, se già non lo si ha (spero di > averli messi tutti): > > # apt-get install coreutils grep apt-show-versions > > A questo punto possiamo vedere l'elenco dei pacchetti che hanno qualcosa > da controllare (naturalmente mettere la suite adeguata): > > $ debsecan --suite sid | cut -d ' ' -f 2 | sort | uniq > > Anche qui cosa si può fare? > > Prima di tutto si può individuare i pacchetti che si hanno installati, > ma che non esistono più sui repository (ci mette un po' a scorrerli) > > $ for i in $(debsecan --suite sid | cut -d ' ' -f 2 | sort | uniq); do \ > if [[ $(apt-show-versions $i | grep available) != "" ]]; then \ > echo $i; fi; done >
Questo comando mi ha dato un elenco di una decina di pacchetti obsoleti. Li ho rimossi tutti. > Questi pacchetti visualizzati in teoria si possono rimuovere perché non > più presenti nei repository indicati in sources.list. Naturalmente > bisogna fare attenzione a: > 1) pacchetti che si sono installati a mano > 2) pacchetti che sono stati tolti temporaneamente e che saranno rimessi poi > 3) ... > > Per gli altri si può vedere se servono o meno. Potrebbero essere stati > installati per pacchetti non più presenti (si può usare autoremove di > apt-get o deborphan o...) > > Per il resto dei pacchetti si può magari vedere prima quelli rimasti con > un urgenza alta e poi cercare di capire se la segnalazione del problema > di sicurezza è recente o meno... > > In ogni caso valgono le regole dette nella mia mail precedente... non > bisogna per forza cercare di eliminare tutti i pacchetti con bug di > sicurezza, ma va analizzato caso per caso. > > Buona caccia :-) > Per quanto riguarda i tre pacchetti segnalati dal comando : check-support-status - libjavascriptcoregtk-3.0-0:amd64 (versione installata: 2.4.8-2) - libwebkitgtk-3.0-0:amd64 (versione installata: 2.4.8-2) - libwebkitgtk-3.0-common (versione installata: 2.4.8-2) Non sono stati segnalati da debscan, ne' con la scansione, debscan --suite jessie , e nemmeno con il ciclo che doveva individuare i pacchetti che non sono piu' presenti nei repository. > Ci sono anche altri pacchetti che permettono di fare ricerche simili di > sicurezza... alla prossima > Quali sarebbero ? Grazie Saluti > Ciao > Davide >