GNU/Linux >> Tutoriels Linux >  >> Arch Linux

Comment trouver des packages vulnérables dans Arch Linux

Garder votre système d'exploitation et tous les packages à jour est toujours une bonne pratique. Étant donné qu'Arch Linux est une version continue, les utilisateurs d'Arch peuvent obtenir les correctifs et les mises à jour logicielles tous les quelques jours par rapport aux autres distributions à version fixe. Cependant, parfois, les utilisateurs ne peuvent pas mettre à jour leur système Arch en raison de données Internet insuffisantes ou ils sont simplement paresseux pour mettre à jour le système ou ils ne veulent pas utiliser la mise à jour craignant que cela ne casse leur système. Si vous ne mettez pas souvent à jour votre Arch Linux, vous devez vérifier de temps en temps les vulnérabilités. Ainsi, s'il existe des vulnérabilités à haut risque, vous pouvez immédiatement mettre à jour le système. C'est là que Arch-audit l'outil est pratique. Il vous aidera à trouver les packages vulnérables dans Arch Linux et ses dérivés tels que Manjaro Linux.

Arch-audit est un utilitaire comme pkg-audit basé sur Arch CVE (C V commun vulnérabilités et E expositions) Données de l'équipe de surveillance. L'équipe de surveillance Arch CVE (ACMT) est un groupe de bénévoles qui aide à identifier et à notifier les packages présentant des failles de sécurité dans Arch Linux. L'objectif principal d'ACMT est de trouver des bogues dans tous les packages et d'informer les développeurs s'il y a des vulnérabilités. N'oubliez pas que l'utilitaire arch-audit ne trouvera aucune vulnérabilité par lui-même. Il analysera simplement le https://security.archlinux.org/ page et afficher les résultats dans le Terminal. Cela n'a rien à voir avec de faux résultats.

Dans ce bref tutoriel, nous verrons comment trouver des packages vulnérables dans Arch Linux à l'aide de l'utilitaire Arch-audit.

Trouvez des packages vulnérables dans Arch Linux à l'aide d'Arch-audit

L'archi-audit est disponible dans le dépôt de la communauté. Ainsi, vous pouvez l'installer en utilisant pacman comme indiqué ci-dessous.

$ sudo pacman -S arch-audit

Une fois installé, exécutez la commande suivante pour trouver les packages vulnérables :

$ arch-audit

Exemple de résultat : 

Package binutils is affected by CVE-2017-17126, CVE-2017-17125, CVE-2017-17124, CVE-2017-17123, CVE-2017-17122, CVE-2017-15996, CVE-2017-15025, CVE-2017-15024, CVE-2017-15023, CVE-2017-15022, CVE-2017-15021, CVE-2017-15020. High risk!
Package cairo is affected by CVE-2017-7475. Low risk!
Package emacs is affected by CVE-2017-1000383. Medium risk!
Package exiv2 is affected by CVE-2017-11592, CVE-2017-11591, CVE-2017-11553, CVE-2017-17725, CVE-2017-17724, CVE-2017-17723, CVE-2017-17722. Medium risk!
Package lib32-libxml2 is affected by CVE-2018-9251. Medium risk!
Package libffi is affected by CVE-2017-1000376. High risk!
Package libxml2 is affected by CVE-2018-9251. Medium risk!
Package linux is affected by CVE-2018-3646, CVE-2018-3620, CVE-2018-3615, CVE-2018-8897, CVE-2017-5753, CVE-2017-5715, CVE-2018-1121, CVE-2018-1120. High risk!
Package openssh is affected by CVE-2018-15473. Medium risk!
Package patch is affected by CVE-2018-6952, CVE-2018-6951, CVE-2018-1000156. High risk!
Package pcre is affected by CVE-2017-11164. Low risk!
Package podofo is affected by CVE-2017-7994, CVE-2017-7383, CVE-2017-7382, CVE-2017-7381, CVE-2017-7380, CVE-2017-7379, CVE-2017-7378, CVE-2017-6842, CVE-2017-6841, CVE-2017-6840. High risk!
Package systemd is affected by CVE-2018-6954. Medium risk!
Package unzip is affected by CVE-2018-1000035. Medium risk!
Package zsh is affected by CVE-2018-13259, CVE-2018-0502. Low risk!

Comme vous l'avez remarqué dans la sortie ci-dessus, il existe de nombreux packages à risque faible, moyen et élevé.

Pour afficher uniquement les noms de packages vulnérables et leurs versions, utilisez -q drapeau comme indiqué ci-dessous :

$ arch-audit -q
binutils
cairo
emacs
exiv2
lib32-libxml2
libffi
libxml2
linux
openssh
patch
pcre
podofo
systemd
unzip
zsh

Pour afficher uniquement les packages qui ont déjà été corrigés, utilisez -u drapeau :

$ arch-audit -qu
bluez>=5.46-2
chromium>=61.0.3163.79-1
curl>=7.55-1
ffmpeg>=1:3.3.4-1
ffmpeg2.8>=2.8.13-1
flashplugin>=26.0.0.151-1
lib32-expat>=2.2.2-1
lib32-libgcrypt>=1.8.1-1
libgcrypt>=1.8.1-1
libsoup>=2.58.2-1
linux>=4.12.13-1
newsbeuter>=2.9-7
webkit2gtk>=2.16.6-1
xorg-server>=1.19.3-3

Les packages répertoriés ci-dessus ont déjà été corrigés par les développeurs.

Vous devez mettre à jour les packages à haut risque et à risque critique dès que possible. Cependant, je vous recommande de tous les mettre à jour en exécutant simplement la commande suivante :

$ sudo pacman -Syu

Pour plus de détails sur arch-audit, reportez-vous aux pages de manuel.

$ man arch-audit

Arch Linux

  1. Comment supprimer les packages orphelins sur CentOS Linux

  2. Comment utiliser Pacman sur Arch Linux

  3. Comment trouver une version de package sous Linux

  4. Comment convertir des packages DEB en packages Arch Linux

  5. Linux - Comment supprimer les anciens packages installés par Pacman dans Arch Linux ?

Comment trouver les packages propriétaires installés dans Arch Linux

Comment convertir des packages Linux avec Alien

Comment connecter l'iPhone à Arch Linux

Création d'un PKGBUILD pour créer des packages pour Arch Linux

Comment installer Skype sur Arch Linux

Comment installer Java sur Arch Linux