Debsecan - Anzeige von ungepatchten Sicherheitslücken

Datum

Vorrangig ist das Paket Debsecan für Debian gemacht, es zeigt aber auch offene CVE (Common Vulnerabilities and Exposures) von zb. Ubuntu Systemen an.

Installieren lässt es sich einfach über apt install debsecan.

Ausführbar ist es danach in der bash über debsecan.

Anschließend schaut das Programm, welche Pakete alles installiert sind und in welcher Version. Danach gleicht es diese mit den CVE Tracker von Debian und Ubuntu ab.

Ist für die Version des Paketes ein CVE hinterlegt, wird dies mit weiteren Informationen wie einer Risikoeinschätzung und ob es Remote ausgenutz werden kann, angezeigt.

Beispiel:
Debian 9 minimal Installation + kleinere weitere Pakete wie vim, less usw.

Auszug aus debsecan:

CVE-2017-17087 xxd (low urgency)
CVE-2016-2779 libuuid1 (high urgency)
CVE-2011-5325 busybox (remotely exploitable, medium urgency)
CVE-2016-2147 busybox (remotely exploitable, medium urgency)
CVE-2016-2148 busybox (remotely exploitable, high urgency)

Auf dem System sind nur 303 Pakete installiert.

root@debian:~# dpkg -l | wc -l
303

Aber es sind 210 CVE offen.

root@debian:~# debsecan | wc -l
210

Anschließend wurden Updates eingespielt:

root@debian:~# apt dist-upgrade
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
The following packages will be upgraded:
  perl-base
1 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Unpacking perl-base (5.24.1-3+deb9u3) over (5.24.1-3+deb9u2) ...
Setting up perl-base (5.24.1-3+deb9u3) ...

Für die aktualisierte Version gibt es weniger oder kein CVE, daher zeigt debsecan auch weniger an.

root@debian:~# debsecan | wc -l
208

Vergleich zu einer Debian Version

Debsecan bietet aber auch noch den Vergleich mit anderen Debian Versionen. Hierzu kann die Option --suite=<Debian Version, zb stretch> angegeben werden.

Hierbei vergleicht Debsecan, ob in der angegeben Debianversion das Paket in einer neueren Version gibt und ob CVE darin gefixt sind. Diese werden anschließend als „fixed“ betitelt.

Beispiel:
gleiches Debian 9, auf aktuellem Updatestand

debsecan --suite=sid

...
CVE-2017-9525 cron (fixed, medium urgency)
...

In Debian Sid liegt das Paket cron in Version cron 3.0pl1-130 vor, der CVE-2017-9525 betrifft aber nur die in zb. Debian 9 vorliegende 3.0pl1-128.

Weshalb in Debian Sid der CVE gefixt ist.

Autor
Kategorien Linux, Debian GNU/Linux

PRTG Map