Конкретная проблема: пакет Oneiric nginx имеет версию 1.0.5-1, выпущенную в июле 2011 года согласно журналу изменений .
Недавняя уязвимость , приводящая к раскрытию памяти ( страница рекомендаций , CVE-2012-1180 , DSA-2434-1 ), не исправлена в 1.0.5-1. Если я не неправильно читаю страницу CVE Ubuntu, все версии Ubuntu поставляются с уязвимым nginx.
Это правда?
Если так: я думал, что в Canonical была команда безопасности, которая активно работает над такими проблемами, поэтому я ожидал получить обновление безопасности в течение короткого периода времени (часов или дней)
apt-get update
.Является ли это ожидание - что поддержание моих пакетов в актуальном состоянии достаточно, чтобы помешать моему серверу иметь известные уязвимости - как правило, неправильно?
Если так: что я должен сделать, чтобы сохранить его в безопасности? Чтение уведомлений о безопасности Ubuntu в этом случае не помогло бы, поскольку уязвимость nginx там никогда не размещалась.