Toon posts:

Snap "core" updates? (Ubuntu Server)

Pagina: 1
Acties:

Vraag

donderdag 24 oktober 2024 11:27

Acties:
  • 0 Henk 'm!
  • Koozza
  • Registratie: November 2007
  • Laatst online: 05-06 07:16

Koozza

Wâ voor drop? GAS D’ROP!

Topicstarter
Hi!

Ik ben me op dit moment wat aan het verdiepen in security en CVE's. Nu heb ik een tooltje welke een linux server scanned voor CVE's en daarin een hoop vind wat false positive's (Deze zijn dan gepatched door Ubuntu, maar de applicatie zelf heeft nog een verouderd versie nummer).

Nu zijn er ook CVE's gevonden in een core snap. Voorbeeldje isCVE-2022-1292 in core22. Deze wordt gevonden in /snap/core22/1621/usr/bin/openssl, welke inderdaad met openssl version een versie teruggeeft die kwetsbaar is voor die CVE. Voor ubuntu zelf is een lijst op te vragen met welke software versie deze CVE gepatched is (https://ubuntu.com/security/CVE-2022-1292), maar mijn vraag is:

Hoe werkt dit voor snaps? Ik zie wel dat ze af en toe geupdate worden, maar ik ken nergens een changelog vinden. Nergens uberhaupt informatie over welke (en of er uberhaupt?) patched worden gedaan in de core snaps.

Ik hoop dat iemand mij dit uit kan leggen! :)

Beste antwoord (via Koozza op 26-10-2024 21:30)

vrijdag 25 oktober 2024 19:54

  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

@DaFeliX, dat is de changelog voor Firefox zelf. Maar in bijvoorbeeld de snap Core zit OpenSSL verwerkt. De vraag is dan, wat is er specifiek in het snap package zelf zodanig gewijzigd buiten de applicatie changelog zelf om. Want een snap package bevat meer dan alleen de applicatie, het heeft namelijk ook de benodigde dependencies. En juist daar kan wat mis zijn. Als dan pas weken later de snap wordt bijgewerkt omdat de applicatie ervan een nieuwe versie heeft, ben je al die tijd wel vatbaar voor dat specifieke lek in de dependency.

Nou zijn snap packages zelf een sandbox met beperkte rechten en mogelijkheden. Maar als er dus iets in de core zit, wat snap mogelijk maakt, zoals dus een CVE in OpenSSL, kan je potentieel toch wel wat meer problemen krijgen dan je zou verwachten.

Dit maakt snap dan ook inherent problematisch. Want als je 10 snaps hebt waar OpenSSL gebruikt wordt en dus meegeleverd, heb je 10 snaps bij te werken. Terwijl bij traditionele packages je alleen OpenSSL hoeft bij te werken om zo alles wat er afhankelijk van is af te vangen.

Commandline FTW | Tweakt met mate

Alle reacties

vrijdag 25 oktober 2024 08:05

Acties:
  • 0 Henk 'm!
  • DaFeliX
  • Registratie: December 2002
  • Laatst online: 06-06 13:01

DaFeliX

Tnet Devver
Gaat het om individuele snaps, of om de snap core?

In het geval van het laatste:

code:
1

snap info core
geeft aan dat je op https://snapcraft.io/store kunt kijken, waar je dan een linkje hebt naar GitHub, waarna je een linkje kunt vinden naar de Launchpad pagina. Daar kun je per versie zien wat er in die versie is gebeurd (bijv https://launchpad.net/snapd/+milestone/2.66 ).

Een heuse changelog voor core kom ik dan niet tegen, je zal dus handmatig de versies af moeten gaan.

Dezelfde stappen kun je overigens volgen voor andere snaps, dus bijvoorbeeld Firefox ; daar zie je dan dat versie 131.0.3 word aangeboden, waar wel een changelog voor beschikbaar is bij Firefox zelf.

Einstein: Mijn vrouw begrijpt me niet

vrijdag 25 oktober 2024 19:54

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

@DaFeliX, dat is de changelog voor Firefox zelf. Maar in bijvoorbeeld de snap Core zit OpenSSL verwerkt. De vraag is dan, wat is er specifiek in het snap package zelf zodanig gewijzigd buiten de applicatie changelog zelf om. Want een snap package bevat meer dan alleen de applicatie, het heeft namelijk ook de benodigde dependencies. En juist daar kan wat mis zijn. Als dan pas weken later de snap wordt bijgewerkt omdat de applicatie ervan een nieuwe versie heeft, ben je al die tijd wel vatbaar voor dat specifieke lek in de dependency.

Nou zijn snap packages zelf een sandbox met beperkte rechten en mogelijkheden. Maar als er dus iets in de core zit, wat snap mogelijk maakt, zoals dus een CVE in OpenSSL, kan je potentieel toch wel wat meer problemen krijgen dan je zou verwachten.

Dit maakt snap dan ook inherent problematisch. Want als je 10 snaps hebt waar OpenSSL gebruikt wordt en dus meegeleverd, heb je 10 snaps bij te werken. Terwijl bij traditionele packages je alleen OpenSSL hoeft bij te werken om zo alles wat er afhankelijk van is af te vangen.

Commandline FTW | Tweakt met mate

zaterdag 26 oktober 2024 21:30

Acties:
  • 0 Henk 'm!
  • Koozza
  • Registratie: November 2007
  • Laatst online: 05-06 07:16

Koozza

Wâ voor drop? GAS D’ROP!

Topicstarter
Precies wat Hero of Time zegt. Het lijkt erop dat elke keer dat de Core packages geupdate worden ze opnieuw alle packages uit Ubuntu trekken, en dus in theorie inderdaad wel de nieuwste versies hebben, maar ik kan inderdaad nergens een changelog vinden. Dus je moet uiteindelijk maar "gokken" of je dependancies gepatched zijn...

Vind, zeker bij de core packages, dat niet super handig ;(
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq