More than 3 years have passed since last update.

Archlinuxの脆弱性管理

Last updated at 2022-01-22Posted at 2022-01-21

Archlinuxの脆弱性管理

とりあえず日頃使いの環境としてArchlinuxを使えるようになりましたので、段々と運用について調べていきたいと思います。
まずは脆弱性管理から。

。。。ただ、まぁ、Archが悪いのかwaylandが悪いのかわかりませんが、i3 on Ubuntuと比べるとだいぶもっさりしている感があり、早くも心が折れかける今日この頃ではありますが、、

脆弱性のあるパッケージの確認

arch-audit

# pacman -S arch-audit

% arch-audit
binutils is affected by multiple issues, arbitrary code execution. Medium risk!
flac is affected by information disclosure. Medium risk!
giflib is affected by information disclosure. Medium risk!
glibc is affected by multiple issues. Medium risk!
intel-ucode is affected by information disclosure. Medium risk!
krb5 is affected by denial of service. Medium risk!
libarchive is affected by arbitrary code execution. Medium risk!
libde265 is affected by multiple issues. Medium risk!
libheif is affected by information disclosure. Medium risk!
libsndfile is affected by arbitrary code execution. Medium risk!
linux is affected by multiple issues, insufficient validation. Medium risk!
ncurses is affected by arbitrary code execution. Medium risk!
openjpeg2 is affected by multiple issues. Medium risk!
perl is affected by signature forgery, directory traversal. Medium risk!
speex is affected by multiple issues. Medium risk!
xdg-utils is affected by information disclosure. Medium risk!
avahi is affected by denial of service. Low risk!
openssh is affected by information disclosure. Low risk!
vim is affected by arbitrary code execution. Low risk!

CVEの情報を出すこともできます。

% arch-audit -c
binutils is affected by multiple issues, arbitrary code execution. (CVE-2021-3648, CVE-2021-3530, CVE-2021-20197, CVE-2021-3549). Medium risk!
flac is affected by information disclosure. (CVE-2021-0561). Medium risk!
giflib is affected by information disclosure. (CVE-2020-23922). Medium risk!
glibc is affected by multiple issues. (CVE-2021-43396, CVE-2021-35942, CVE-2021-33574, CVE-2021-27645). Medium risk!
intel-ucode is affected by information disclosure. (CVE-2020-24491). Medium risk!
krb5 is affected by denial of service. (CVE-2021-37750). Medium risk!
libarchive is affected by arbitrary code execution. (CVE-2021-36976). Medium risk!
libde265 is affected by multiple issues. (CVE-2020-21606, CVE-2020-21605, CVE-2020-21604, CVE-2020-21603, CVE-2020-21602, CVE-2020-21601, CVE-2020-21600, CVE-2020-21599, CVE-2020-21598, CVE-2020-21597, CVE-2020-21596, CVE-2020-21595, CVE-2020-21594). Medium risk!
libheif is affected by information disclosure. (CVE-2020-23109). Medium risk!
libsndfile is affected by arbitrary code execution. (CVE-2021-3246). Medium risk!
linux is affected by multiple issues, insufficient validation. (CVE-2021-43976, CVE-2021-4095, CVE-2021-4028, CVE-2021-3847, CVE-2021-3752, CVE-2021-3669, CVE-2021-31615, CVE-2020-26560, CVE-2020-26559, CVE-2020-26557, CVE-2020-26556, CVE-2020-26555, CVE-2020-35501). Medium risk!
ncurses is affected by arbitrary code execution. (CVE-2021-39537). Medium risk!
openjpeg2 is affected by multiple issues. (CVE-2021-3575, CVE-2021-29338, CVE-2019-6988, CVE-2018-20846, CVE-2018-16376). Medium risk!
perl is affected by signature forgery, directory traversal. (CVE-2020-16156, CVE-2021-36770). Medium risk!
speex is affected by multiple issues. (CVE-2020-23904, CVE-2020-23903). Medium risk!
xdg-utils is affected by information disclosure. (CVE-2020-27748). Medium risk!
avahi is affected by denial of service. (CVE-2021-3468). Low risk!
openssh is affected by information disclosure. (CVE-2016-20012). Low risk!
vim is affected by arbitrary code execution. (CVE-2021-4069, CVE-2021-4019, CVE-2021-3984, CVE-2021-3974, CVE-2021-3973, CVE-2021-3968). Low risk!

すばらしい！！
。。んだけど、ちょっと注意が必要。
といいますのも、、

% arch-audit -u  
<表示なし！！＞

% pacman -Qu
virtualbox 6.1.30-3 -> 6.1.32-1

arch-audit -uは、「updatable」。
はい。
要するに、「脆弱性が知られているが、アップデート出してない（あるいは出す気がない）」のも引っかかっちゃうんですね。。

試しに、glibcがMediumとなっている理由の１つのcve-2021-43396について見てみると。

https://www.gnu.org/software/libc/
https://access.redhat.com/security/cve/cve-2021-43396
https://ubuntu.com/security/CVE-2021-43396

2.35は準備中だけど2/1公開予定ということで、それまで更新のしようがないわけですね。
（2.35で更新されるのかはわかりませんが）

この例はいいのですけど、脆弱性によってはwill not fixみたいに宣言されることありますので、永遠に消えないCVEもあるんじゃないかなぁと。。
そういうのは実際にどうでもいい脆弱性だったりするわけではありますが、そういうのを管理する仕組みを考えないといけませんね。。

脆弱性情報のソース

redhatやubuntuと比べると検索性とか、みやすさがちっとなぁ、、
ちなみにarch-auditは、上記のサイトのall.jsonを持ってきて、ローカルのパッケージのバージョンと比べるみたいですね。
redhatやubuntuのようにoval対応してくれないかな、、と思うところはありますが。

脆弱性以外のアップデート

１週間位使ってての感想ですが、なんかほぼ毎日何かしらのアップデートが出る感じですね。。
セキュリティ以外も多々あるのですが、そもそもなんでアップデートしているのかを調べる方法があるかなと調べてみたんですが、、、

見つかったのはこちら。
https://gitlab.com/protist/pacolog

archlinuxパッケージのgitのコミット時のコメントをとってくるようなのですが、、ほぼほぼなんも書いてませんね。。

$ ./pacolog syslog-ng
Commits on Jan 16, 2022
 1. upgpkg: syslog-ng 3.35.1-4: Todo List LTO fat objects
    git-svn-id: file:///srv/repos/svn-packages/svn@434535 eb2447ed-0c53-47e4-bac8-5bc4a241df78
    bluewind svntogit
    bluewind authored and svntogit committed Jan 16, 2022
    eee99fc
Commits on Jan 9, 2022
 1. upgpkg: syslog-ng 3.35.1-3: fix FS#57066 - [syslog-ng] Configuration …
    …file format is too old
    git-svn-id: file:///srv/repos/svn-packages/svn@434006 eb2447ed-0c53-47e4-bac8-5bc4a241df78
    bluewind svntogit
    bluewind authored and svntogit committed Jan 9, 2022
    d4c36b9
Commits on Dec 23, 2021
 1. upgpkg: syslog-ng 3.35.1-2: Python 3.10 rebuild
    git-svn-id: file:///srv/repos/svn-packages/svn@432962 eb2447ed-0c53-47e4-bac8-5bc4a241df78
    @foutrelis svntogit
    foutrelis authored and svntogit committed Dec 23, 2021
    074258f
Commits on Dec 12, 2021
 1. upgpkg: syslog-ng 3.35.1-1: upstream update
    git-svn-id: file:///srv/repos/svn-packages/svn@431929 eb2447ed-0c53-47e4-bac8-5bc4a241df78
    bluewind svntogit
    bluewind authored and svntogit committed Dec 12, 2021
    5ca81dd
Commits on Dec 3, 2021
 1. upgpkg: syslog-ng 3.34.1-2: Python 3.10 rebuild
    git-svn-id: file:///srv/repos/svn-packages/svn@430576 eb2447ed-0c53-47e4-bac8-5bc4a241df78
    @foutrelis svntogit
    foutrelis authored and svntogit committed Dec 3, 2021
    07b1fc1
Commits on Sep 12, 2021
 1. upgpkg: syslog-ng 3.34.1-1: upstream update
    git-svn-id: file:///srv/repos/svn-packages/svn@423934 eb2447ed-0c53-47e4-bac8-5bc4a241df78
    bluewind svntogit
    bluewind authored and svntogit committed Sep 12, 2021
    3651602

だいぶ端折ってますけど。
いっそglib自体のchangelog見る方のがいいのかもしれませんが、一括で見れないのは辛いですね。
ちなみにubuntuだと。

$ apt changelog syslog-ng
syslog-ng (3.25.1-3) unstable; urgency=medium

  * Remove outdated pep8 build dependency.

 -- Laszlo Boszormenyi (GCS) <gcs@debian.org>  Tue, 03 Mar 2020 19:39:43 +0000

syslog-ng (3.25.1-2) unstable; urgency=medium

  * Update upstream bison update (closes: #949847).

  [ Balazs Scheidler <bazsi77@gmail.com> ]
  * Remove unneeded/empty Makefile.am file.
  * Remove obsoleted sections from README.source .
  * Update github URL in copyright.
  * Change github url in the watch file.
  * Add wants/after lines into syslog-ng.systemd unit file.
  * Remove libgeoip-dev as build dependency.

 -- Laszlo Boszormenyi (GCS) <gcs@debian.org>  Sun, 01 Mar 2020 11:38:57 +0000

syslog-ng (3.25.1-1) unstable; urgency=medium

  * New upstream release.
  * Merge in syslog-ng-mod-journal (closes: #924264).
  * Remove syslog-ng-mod-geoip module.
  * Python3ify syslog-ng-mod-python (closes: #938618).
  * Add upstream persist-tool manpage.
  * Backport upstream bison update.
  * Install all SCL files.
  * Update configuration version.
  * Update self-tests.
  * Update Standards-Version to 4.4.1 .

 -- Laszlo Boszormenyi (GCS) <gcs@debian.org>  Sat, 21 Dec 2019 08:42:10 +0000

通常ココらへん気にすることはないのですが、調べるすべがないというのも気持ちが悪いものです。
微妙だなぁ、、

まとめ

archlinuxの脆弱性管理（＋脆弱性じゃない普通のバグのアップデート）について調べてみました。
手が空いたら他のディストリといやらしく更新の公開速度を比べてみたぃなぁとは思いますが、今日はここまで。

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up