Czy ta usterka apt (CVE-2019-3462) stanowi zagrożenie dla bezpieczeństwa użytkowników Ubuntu?

Jestem nowy na serwerze Ubuntu. Znalazłem ten post na temat podatności w APT Debiana. Czy uważasz, że ten problem został rozwiązany?

1. Luka w apt Debianie pozwala na łatwe boczne przemieszczanie się w centrach danych

   22 stycznia Max Justicz opublikował opis szczegółowo opisujący lukę w apt kliencie. Za pomocą technik Man in the Middle atakujący może przechwycić komunikację apt podczas pobierania pakietu oprogramowania, zastąpić żądaną zawartość pakietu własnym plikiem binarnym i wykonać ją z uprawnieniami roota.

2. Zdalne wykonanie kodu w apt / apt-get - Max Justicz

   Znalazłem lukę w apt, która pozwala man-in-the-middle (lub złośliwemu serwerowi odbierającemu pakiety) na wykonanie dowolnego kodu jako root na maszynie instalującej dowolny pakiet. Błąd został naprawiony w najnowszych wersjach apt. Jeśli obawiasz się, że zostaniesz wykorzystany podczas procesu aktualizacji, możesz się zabezpieczyć, wyłączając przekierowania HTTP podczas aktualizacji.

Otworzyłem link, który podałeś, aby pobrać numer CVE, a następnie szukałem szczegółowych informacji za pomocą wyszukiwarki

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Tak długo, jak masz na liście pakiety zawierające poprawkę, wszystko będzie dobrze. Aby uzyskać więcej informacji, sprawdź uwagi bezpieczeństwa Ubuntu.

Tak, to zdecydowanie naprawione.

Najlepszym sposobem śledzenia problemów związanych z bezpieczeństwem jest użycie numeru CVE. Po to są liczby CVE. W tym przypadku wydajesz się martwić CVE-2019-3462

CVE mogą mieć więcej niż jeden powiązany raport o błędzie. Wszystkie błędy dotyczące tego konkretnego CVE można znaleźć na stronie https://bugs.launchpad.net/bugs/cve/2019-3462 . Narzędzie do śledzenia błędów powie Ci, które błędy zostały naprawione, w których wersjach Ubuntu i kiedy poprawki zostały przesłane.

Po naprawieniu tego konkretnego CVE zespół bezpieczeństwa Ubuntu mówił o tym problemie i poprawce w swoim podcastie z 29 stycznia 2019 r. Jest krótki i warty wysłuchania.

Mówiąc o lukach w zabezpieczeniach, tak zwany numer CVE jest używany w całej branży w odniesieniu do konkretnej luki. Każdy, kto zareaguje na lukę, bez względu na dystrybucję Linuksa, użyje tego samego numeru CVE, aby się do niej odwołać.

W artykułach, do których się odwołałeś, pokazano numer CVE: CVE-2019-3462

Po uzyskaniu numeru CVE dla dowolnego problemu z bezpieczeństwem możesz go sprawdzić w narzędziu Ubuntu CVE Tracker, aby znaleźć jego aktualny status w Ubuntu, w tym:

• Opis podatności
• Łącza do informacji o bezpieczeństwie Ubuntu dotyczących luki, jeśli są dostępne
• Status podatności w każdej obsługiwanej dystrybucji Ubuntu
• Numery wersji poprawionych pakietów, gdy staną się dostępne
• Zewnętrzne linki do informacji o podatności

Gdy status Twojej dystrybucji pokazuje się jako „wydany”, pakiet z poprawką jest gotowy do pobrania i powinien być dostępny po następnym uruchomieniu sudo apt update .

Aby sprawdzić wersję zainstalowanego pakietu, możesz użyć dpkg -s. Na przykład:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10