Como interpretar os avidos do USN ubuntu CVE traker?

[brunosh]

Boa Tarde, tenho uma duvida sobre avisos USN e Ubuntu CVE Tracker quando um pacote esta com alguma vulnerabilidade quer dizer que aplicando a versao indicado pelo USN a vulnerabilidade é corrigida certo ? ou quando eles alertam a versao mostrada é que esta com vulnerabilidade ?

www.ubuntu.com/usn/

Obrigado Pela Atenção.

[druidaobelix]

Não entendi muito bem sua dúvida.

Vamos usar como exemplo o USN-3346-1 que noticia uma vulnerabilidade no bind9, que é o que fornece o serviço de DNS mais utilizado no mundo todo.

Quando se clica no link do USN respectivo mencionado acima vai levar para a página:

https://www.ubuntu.com/usn/usn-3346-1/

Na descrição está absolutamente claro quando diz:

The problem can be corrected by updating your system to the following package version:

e aí menciona as referências de pacotes que já corrigem o problema conforme indicado.

Por exemplo, para a verfsão 16.04.

bind9 1:9.10.3.dfsg.P4-8ubuntu1.7

Portanto, se está dizendo "can be corrected", só se pode interpretar como sendo corrigido a partir dessa versão indicada do pacote.

[brunosh]

Lendo The problem can be corrected by updating your system to the following package version: eu ficava em duvida se o pacote apresentado era o que estava com vulnerabilidade
Baseado na sua confirmação este pacote indicado é atualização que resolve o problema certo ?
www.ubuntu.com/usn/usn-3346-1
Ubuntu 16.04 LTS:
bind9 1:9.10.3.dfsg.P4-8ubuntu1.7

Agradecendo e aproveitando a oportunidade para quem esta iniciando os estudos em segurança indica alguma leitura para entender como são alertas não só da USN mais tambem do Mitre
NVD outras entidades que emitem alertas.

Obrigado  druidaobelix pela atenção.

[druidaobelix]

[...] para entender como são alertas não só da USN mais tambem do Mitre
NVD outras entidades que emitem alertas.

A fonte primária é o Mitre mesmo, pois o que é abastecido lá vem de várias origens.
As distros grandes têm seu time de acompanhamento disso, como também por si própria abastecem algo naquela base de dados.
Na prática isso aí é uma agência secretamente envolvida com questões de segurança do governo norte-americano, NSA e que tais, por razões mais ou menos óbvias.

Veja que o escopo do MITRE envolvendo segurança é bem mais amplo:

We provide innovative, practical solutions for some of our nation's most critical challenges in defense and intelligence, aviation, civil systems, homeland security, the judiciary, healthcare, and cybersecurity.

[druidaobelix]

[...]  para quem esta iniciando os estudos em segurança indica alguma leitura [...]

Ia esquecendo,

Se estiver por perto, quiser investir ou tiver quem corporativo pague a conta, ainda dá tempo:   

Cyber Security Summit

http://www.cybersecuritysummit.com.br/sobre_a_conferencia.php

Confira os conferencistas, incluindo os participantes do Exército Brasileiro.

Quanto à literatura, se for possível em inglês existe uma vastidão.

Se em português, verifique especialmente esse:

Certificação Security+ da Prática para o exame SYO-401

Essa lista pode ser interessante:

https://seginfo.com.br/2015/07/16/15-livros-indispensaveis-para-profissionais-da-seguranca-da-informacao-e-entusiastas-de-ti-2/