In den letzten Tagen kam es knüppelhart: Zuerst meldeten die PHP-Entwickler eine Sicherheitslücke in der unserialize()-Funktion (CVE-2015-0273), tags darauf mussten die Leute hinter Samba ein schwerwiegendes Problem in ihrer Software anerkennen (CVE-2015-0240).
Wie gehe ich sicher, dass auf meinem Debian-Server zu Hause Pakete installiert sind, in welchen diese Sicherheitsprobleme bereits behoben wurden?Nach einer kurzen Google-Suche fand ich die Antwort:
Im Debian Security Tracker kann ich nachschauen, welche Pakete von welchen „Common Vulnerabilities and Exposure“ betroffen sind. In den beiden erwähnten Fällen lauten die URLs auf die Detailseite folgendermassen:
Die dort angegebenen Versionsnummern kann ich anschliessend auf meinem Server mittels folgendem Befehl überprüfen:
$ dpkg --list | grep php ... ii php5 5.6.5+dfsg-2 all server-side, HTML-embedded scripting language (metapackage) ...
5.6.5+dfsg-2 ist immer noch anfällig auf das Problem, da die Sicherheitslücke offenbar erst mit 5.6.6+dfsg-2 behoben ist. Nebenbei: Mehr zum Kürzel „dfsg“.
Deshalb führe ich folgenden Befehl aus:
# apt-get upgrade php5 ... Calculating upgrade... php5 is already the newest version. ...
Offenbar muss ich mich also noch ein wenig in Geduld üben.
Bei Samba schaut es folgendermassen aus:
$ dpkg --list | grep samba ... ii samba 2:4.1.17+dfsg-1 i386 SMB/CIFS file, print, and login server for Unix ...
4.1.17+dfsg-1 wird auf der Web-Site als „fixed“ geführt. Glück gehabt!
