Womit man sich so den Samstagabend vertreibt…
(Erwähnung von debsecan – in Kombination mit ust2dsa auch für Ubuntu-Suiten nutzbar – und debcvescan)
Nachdem das letztere Projekt inzwischen mit einer Whitelist auf Basis von CVE-IDs und Paketnamen arbeiten kann, ist es bislang mein Favorit, auch wenn der fehlende Zugriff auf die Liste der Ubuntu-CVEs potenziell ein paar (Erwartung: wirklich nicht sehr viele[*]) offene CVE "unterschlagen sollte". Heute habe ich mir auf einen Tip des debcvescan-Autors das eher weniger bekanntere CVEScan-Projekt von Canonical selbst angesehen, und was soll ich sagen? Bei einem ersten Testlauf auf einem Ubuntu-Focal-Produktivsystem mit 1325 Paketen (davon allerdings einige aus Dritt-Repositories)…
- spuckt mir debcvescan (unter Verwendung einer manuell erstellten Whitelist für virtuelle Maschinen) eine Liste von 3–4 offenen Sicherheitslücken/CVE-IDs aus (eine davon niedrig priorisiert) – drei, wenn man dem Canonical-Sicherheitsteam Glauben schenkt, dass eine Anpassung eines Perl-Moduls nicht erforderlich ist, für welches das Debian-Sicherheitsteam eine Anpassung vorgenommen hat.
- listet cvescan 500 offene CVE-IDs der Prioritäten low/medium/high/untriaged(=unkategorisiert?) – teilweise mehrere Pakete der Focal-Suite betreffend – auf; dummerweise lässt sich diese Liste standardmäßig nicht direkt mit der Liste installierter Pakete abgleichen, was ich einigermaßen unsinnig finde (muss mir die Dokumentation nochmals zu Gemüte führen). Mal sehen, was nach einer Filterung hiervon übrigbleibt.
EDIT: Über die Erzeugung eines "Manifests" soll die gewünschte Filterung ("ebenfalls") funktionieren; warum ich diesen Umweg aber auch auf dem lokalen System gehen muss, erschließt sich mir noch nicht. Ergebnis: 0 offene CVE-IDs der vorgenannten Prioritäten. Jetzt bleibt die Frage, warum unter anderem die oben erwähnten drei Einträge auch nicht mehr auftauchen. Es bleibt spannend…
[*] abgesehen von Kernel-Paketen, die sich stark unterscheiden können; hier baut man u. a. aber auch darauf, dass der Canonical-LivePatch-Dienst zeitnah das Schlimmste verhindert.