如何获得易受debian远程攻击的已安装软件包的列表？

Question

为了跟踪和减轻Debian中的安全漏洞，我使用了debsecan实用程序。可以使用以下方法找到高级别远程代码执行漏洞列表：

debsecan | grep "remotely exploitable, high urgency"

要将列表限制为可用修补程序的漏洞，我们可以使用以下命令：

debsecan --suite stretch --only-fixed

为了使系统更加安全，我们可以升级易受攻击的包，并删除任何不必要的易受攻击包(apt list --installed | grep xx)，如vlc、thunderbird .

为了使此任务在更新debsecan数据库并在我的系统上安装新包时更易于日常使用，我如何仅获得易受远程攻击的已安装软件包的列表？

Answer 1

默认情况下，debsecan检查已安装的包，所以只需过滤其输出(因为它列出了影响已安装包的所有漏洞，这意味着它通常会列出每个包的多个漏洞)：

debsecan | awk '/remotely exploitable/ { vuln[$2]++ } END { for (package in vuln) print package }' | sort

当然，为了获得更好的结果，您应该指定套件。

您也可以使用debsecan-create-cron创建一个cron作业，它将每天给您发一份报告。