以下を含む最新の Debian 安定インストールがありますdebian-security
。
$ cat /etc/apt/sources.list
deb http://deb.debian.org/debian/ bullseye main contrib non-free
deb http://security.debian.org/debian-security bullseye-security main contrib non-free
deb http://deb.debian.org/debian/ bullseye-updates main contrib non-free
deb-src http://deb.debian.org/debian/ bullseye main contrib non-free
deb-src http://security.debian.org/debian-security/ bullseye-security main contrib non-free
deb-src http://deb.debian.org/debian/ bullseye-updates main contrib non-free
これを実行したとき、あまりにも多くのCVEが修正されたことを見て驚きましたdebsecan
。
$ debsecan --suite bullseye --only-fixed | wc -l
310
いくつかのパッケージを見たところ、すでに修正されたバージョンがインストールされていることがわかりました。この場合、libc-bin 2.31-13+deb11u4
CVE-2021-33574が修正されたようです。すでに+deb11u5
インストールしているのに、なぜこのCVEが私のシステムに表示されているのかわかりません。
$ debsecan --suite bullseye --only-fixed --format detail
CVE-2021-33574 (fixed)
The mq_notify function in the GNU C Library (aka glibc) versions 2.32 ...
installed: libc-bin 2.31-13+deb11u5
(built from glibc 2.31-13+deb11u5)
fixed in unstable: glibc 2.32-1 (source package)
fixed on branch: glibc 2.28-10+deb10u2 (source package)
fixed on branch: glibc 2.31-13+deb11u3 (source package)
fixed on branch: glibc 2.31-13+deb11u4 (source package)
fixed on branch: glibc 2.32-0experimental0 (source package)
fix is available for the selected suite (bullseye)
これは偽の肯定ですか、それともこれらの結果を誤って解釈していますか?
この問題は、修正されたパッケージにのみ適用されません。この場合はインストールしましたが修正xxd
されました。この場合、修正が適用されると同時にスキップされますか?8.1.0875-5+deb10u4
8.2.2434-3+deb11u1
unstable
testing
oldstable
stable
$ debsecan --suite bullseye | wc -l
2102
$ debsecan --suite bullseye --format detail
CVE-2022-3324
Stack-based Buffer Overflow in GitHub repository vim/vim prior to 9.0. ...
installed: xxd 2:8.2.2434-3+deb11u1
(built from vim 2:8.2.2434-3+deb11u1)
fixed in unstable: vim 2:9.0.0626-1 (source package)
fixed on branch: vim 2:8.1.0875-5+deb10u3 (source package)
fixed on branch: vim 2:8.1.0875-5+deb10u4 (source package)
$