Arch-audit: comprobación de vulnerabilidades de software en Arch Linux

cve-arch

Arch-audit es una utilidad para sistemas Arch Linux, que nos permite identificar que paquetes instalados en nuestro sistemas, son vulnerables a un determinado problema de seguridad.

El programa se basa en el trabajo del Arch CVE Monitoring Team, un equipo de la distro encargado de estar al tanto de los avisos de seguridad, reportar vulnerabilidades y mantener el contacto con los desarrolladores para su resolución lo antes posible. Siempre hablando de software que esté incluido en los repositorios oficiales (Core, Extra y Community)

Lo que arch-audit hace como programa, es confrontar los paquetes instalados en nuestro sistema con la base de datos de CVE (Common Vulnerabilities and Exposures). Esta última se trata de la principal referencia a la hora de clasificar e identificar amenazas cibernéticas, incluyendo su descripción, enlaces de interés y posible asignación para su resolución.

La ejecución del programa es muy sencilla:

arch-audit

A continuación nos aparecerá la lista de paquetes vulnerables, con el número de CVE correspondiente y sugiriendo en algunos casos la actualización a una nueva versión.

jose@replicante ~]$ arch-audit
Package gdk-pixbuf2 is affected by ["CVE-2016-6352"]. VULNERABLE!
Package libwmf is affected by ["CVE-2009-1364", "CVE-2006-3376", "CVE-2007-0455", "CVE-2007-2756", "CVE-2007-3472", "CVE-2007-3473", "CVE-2007-3477", "CVE-2009-3546", "CVE-2015-0848", "CVE-2015-4588", "CVE-2015-4695", "CVE-2015-4696"]. VULNERABLE!
Package wireshark-cli is affected by ["CVE-2016-7180", "CVE-2016-7175", "CVE-2016-7176", "CVE-2016-7177", "CVE-2016-7178", "CVE-2016-7179"]. VULNERABLE!
Package jasper is affected by ["CVE-2015-8751"]. VULNERABLE!
Package jasper is affected by ["CVE-2015-5221"]. VULNERABLE!
Package jasper is affected by ["CVE-2015-5203"]. VULNERABLE!
Package libimobiledevice is affected by ["CVE-2016-5104"]. VULNERABLE!
Package libtiff is affected by ["CVE-2016-5875", "CVE-2016-5314", "CVE-2016-5315", "CVE-2016-5316", "CVE-2016-5317", "CVE-2016-5320", "CVE-2016-5321", "CVE-2016-5322", "CVE-2016-5323", "CVE-2016-5102", "CVE-2016-3991", "CVE-2016-3990", "CVE-2016-3945", "CVE-2016-3658", "CVE-2016-3634", "CVE-2016-3633", "CVE-2016-3632", "CVE-2016-3631", "CVE-2016-3625", "CVE-2016-3624", "CVE-2016-3623", "CVE-2016-3622", "CVE-2016-3621", "CVE-2016-3620", "CVE-2016-3619", "CVE-2016-3186", "CVE-2015-8668", "CVE-2015-7313", "CVE-2014-8130", "CVE-2014-8127", "CVE-2010-2596", "CVE-2016-6223"]. VULNERABLE!
Package libtiff is affected by ["CVE-2015-7554", "CVE-2015-8683"]. VULNERABLE!
Package crypto++ is affected by ["CVE-2016-7420"]. VULNERABLE!
Package bzip2 is affected by ["CVE-2016-3189"]. VULNERABLE!
Package postgresql is affected by ["CVE-2014-0060", "CVE-2014-0061", "CVE-2014-0062", "CVE-2014-0063", "CVE-2014-0064", "CVE-2014-0065", "CVE-2014-0066", "CVE-2014-0067"]. Update to 9.33!
Package wpa_supplicant is affected by ["CVE-2016-4477", "CVE-2016-4476"]. VULNERABLE!
Package libusbmuxd is affected by ["CVE-2016-5104"]. VULNERABLE!
Package giflib is affected by ["CVE-2015-7555"]. Update to 5.2.1-1!

Como veis en mi Antergos tengo un buen puñado de avisos, aunque obviamente no todos son igual de preocupantes.

Arch-audit ya está en los repositorios comunitarios de AUR, y se puede instalar mediante:

yaourt -S arch-audit

Inspirado en el pkg-audit de FreeBSD, arch-audit todavía está en un proceso de desarrollo muy inicial (versión 0.10 y apenas unas horas de vida en GitHub), pero así de primeras ya parece un programa a tener en cuenta.

8 thoughts on “Arch-audit: comprobación de vulnerabilidades de software en Arch Linux”

  1. Carlos says:

    Saludos.
    Y para distritos basados en debían abra algo similar?

    1. tannhausser says:

      Si lo hay, ahora mismo no me acuerdo. Pero ni de Debian ni de ninguna otra.

    2. Roberto Val says:

      Creo que algo parecido seria Lynis (https://cisofy.com/lynis/), no es especifico para Debian pero es algo aprecido a arch-audit.

  2. emesoria says:

    Se ve interesante el programa…gracias por compartirlo Replicante…saludos camarada

    1. tannhausser says:

      De nada amigo!

  3. isorfe says:

    Idea loca, cuando madure, pasarlo al repositorio principal y editarle una GUI (eso ya supongo que en Antergos o Manjaro, que en Arch ya se sabe que son algo alérgicos a esas cosas) para integrarlo como módulo en los paneles de control.

  4. kavra says:

    glsa-check -l en Gentoo.
    Saludos

    1. tannhausser says:

      Bien por los de Gentoo, que se adelantaron.

      Cualquier día de estos me dejo la barba y me pongo con la instalación. (de hacer las cosas, hacerlas bien)

      Un saludo!

Deja un comentario