Et sikkerhetsproblem, eller en CVE, er en feil i kildekoden som kan brukes til å skade brukeren(e) og/eller systemet som er i bruk, noen ganger ved å misbruke bufferoverløp for å oppnå privilegiumsøkning, endre genererte byggeskript for å bruke SSH ved oppstart, eller til og med tukle med foreldet minne.
Det finnes mange pakker som gir ut oppdateringer som fikser sårbarheter, og noen pakker fikser CVE-er ganske ofte. GLFS vil av og til ha en oppdatering som oppgraderer en pakke som fikser en CVE. Det er viktig å alltid oppgradere pakker på systemet ditt som inneholder sikkerhetssårbarheter, og det finnes en måte å se etter disse oppdateringene.
For å se etter pakker som har fått en CVE rettet, gå til GLFS Advisories siden. Den dekker både ødelagte endringer og sikkerhetsinformasjon for hver utgivelse.
Du kan også gå til
GLFS issue page som har et filter aktivert (is:closed is:issue label:security
). Alle
pakker som er oppført der, som har security
etiketten er pakker som fikset en
CVE i versjonen som er oppført. Nyere versjoner vil være øverst på
listen. Når det er to versjoner av samme pakke, bruk alltid den som
vises først på listen, eller øverst på den. Nyere betyr ikke alltid
tryggere, og det kan noen ganger være nødvendig å bruke en eldre
versjon av en pakke, pluss kanskje en oppdatering eller to.
Vær oppmerksom på at i den sistnevnte metoden har pakkene som er oppført der problemer som allerede er lukket og nå er i boken. Du kan gå til den åpne delen av siden for å se om det finnes pakker der som fortsatt har detaljer som er utarbeidet og som ennå ikke er fikset i boken.