Problema concreto: el paquete Oneiric nginx está en la versión 1.0.5-1, lanzado en julio de 2011 según el registro de cambios .
La reciente vulnerabilidad de divulgación de memoria ( página de aviso , CVE-2012-1180 , DSA-2434-1 ) no se corrigió en 1.0.5-1. Si no estoy leyendo mal la página Ubuntu CVE, todas las versiones de Ubuntu parecen enviar un nginx vulnerable.
¿Es esto cierto?
Si es así: pensé que había un equipo de seguridad en Canonical que trabajaba activamente en temas como este, por lo que esperaba obtener una actualización de seguridad en un corto período de tiempo (horas o días)
apt-get update
.¿Es esta expectativa, que mantener mis paquetes actualizados es suficiente para evitar que mi servidor tenga vulnerabilidades conocidas, generalmente incorrecto?
Si es así: ¿qué debo hacer para mantenerlo seguro? Leer los avisos de seguridad de Ubuntu no habría ayudado en este caso, ya que la vulnerabilidad nginx nunca se publicó allí.