Alternatief voor VuXML
Recent ben ik naast PHP ontwikkelen op BSD begonnen op Debian Linux.
Een handige feature van BSD is de package manager 'pkg', die aangeeft of er kwetsbaarheden bekend zijn van de geïnstalleerde paketten - los van de vraag of ze opgewaardeerd kunnen worden - met het commando 'pkg audit -F'. Daarnaast worden alle bekende kwetsbaarheden gepubliceerd via XML. (https://vuxml.freebsd.org/freebsd/index.html)
Nou zou ik die feature ook graag beschikbaar hebben in Debian Linux. Maar ik kom niet verder dan een lijst met paketten die opgewaardeerd kunnen worden met het commando 'apt list --upgradeable -a'.
Er is wel een complete lijst online (https://www.cvedetails.com/vulnerability-list/vendor_id-23/product_id-36/Debian-Debian-Linux.html) maar dat gaat weer over alle paketten, en is niet in een handzaam formaat.
Heeft iemand een suggestie?
Ik heb even geGoogled en kwam dit tegen. Misschien kun je het eens proberen. Geen idee of het werkt.
Het gaat mij vooral om op het systeem een overzicht te krijgen van bekende kwetsbaarheden, ongeacht of daar al een patch voor bestaat.
Maar je hebt deze ook geprobeerd?
sudo apt list --upgradable | grep "/$(lsb_release -cs)-security"
Gaf dat niet het gewenste resultaat?
>> Het gaat mij vooral om op het systeem een overzicht te krijgen van bekende kwetsbaarheden
Kwetsbaarheden in het algemeen? Of kwetsbaarheden op jouw systeem?
Het gaat om kwetsbaarheden van mijn eigen systeem, bijvoorbeeld: 'er is een kwetsbaarheid genaamd CVE-xxxxx in library yyyy', ongeacht of apt daar al een nieuwere versie voor heeft waar die bug niet in zit.
Voor de beveiliging is dat wel handig om te weten, dan kan ik die lijst nalopen en kijken of die kwetsbaarheid eigenlijk wel van toepassing zijn in mijn geval. Want soms gebruik ik niet alle mogelijkheden van een library waardoor mijn systeem niet direct kwetsbaar is, en soms zijn er ook al workarounds bekend.
Maar de crux is dat ik het wel wil weten, anders kan ik geen actie ondernemen.
Oké ... maar het gaat dus in feite om packages die niet up to date zijn op jouw systeem en waarin een veiligheidslek is geconstateerd. Correct?
Het gaat om packages die op mijn systeem staan en up to date zijn en waar een veiligheidslek in is geconstateerd.
Het gaat dus om packages die een lek bevatten en niet meer up to date zijn. Wat je dus moet doen is een lijst met beschikbare updates ophalen en daarvan zou je dan moeten vaststellen welke updates veiligheidsupdates zijn.
Gewijzigd op 09/09/2020 00:05:23 door Ozzie PHP
Bij het uitvoeren van 'pkg audit -F' wordt eerst de database met kwetsbaarheden opgehaald (VuXML), en wordt gekeken of er paketten geïnstalleerd zijn die kwetsbaarheden bevatten. Als dat het geval is, worden 'security advisories' gegeven, wat je ook kan doen besluiten om een pakket te deïnstalleren zolang er nog geen bijgewerkte versie voor bestaat.
- https://www.vuxml.org/freebsd/
- https://www.freebsd.org/cgi/man.cgi?query=pkg-audit&format=html
Onder (Debian) Linux krijg ik met 'apt list --upgradable' alleen een lijst met paketten waar al wél een bijgewerkte versie voor bestaat. De pakketten die wel kwetsbaar zijn, maar waarvoor nog geen update voor bestaat, worden dan niet genoemd. Dus ben je niet op de hoogte van alle bekende gevaren.
- https://manpages.debian.org/buster/apt/apt.8.nl.html
Maar ik denk dat hier niet snel een oplossing voor te vinden is omdat in (Debian) Linux de gewoonte is om informatie over kwetsbaarheden niet eerder vrij te geven dan dat er een bijgewerkte versie bestaat.
- https://www.debian.org/security/audit/auditing
Het is gewoon een keuze waar ik in mee zal moeten bij het gebruik van dit besturingssysteem.
EDIT: er valt wat op die keuze van (Debian) Linux af te dingen. Ik zou graag wel geïnformeerd willen worden als mijn systeem kwetsbaar is, zoals bij side channel attacks als Meltdown en Spectre.
Ook als daar nog geen oplossing voor is. Door gebruikers niet tijdig te informeren word een deel ontnomen van de mogelijkheid om verantwoordelijkheid te kunnen dragen.
- https://meltdownattack.com
Aangezien je zelf zo te zien alles al goed hebt uitgezocht, kan ik je helaas ook niet verder helpen :(
Dus toch bedankt :)
Ah nou gelukkig, is het toch nog ergens goed voor geweest :-) Graag gedaan!