Чи ця вразлива вразливість (CVE-2019-3462) є проблемою безпеки користувачів Ubuntu?

Я новачок на сервері Ubuntu. Я знайшов цю публікацію про вразливість в APT Debian. Як ви вважаєте, це питання вирішено?

1. Уразливість у підході Debian дозволяє легко переміщатись поперек в центрах обробки даних

   22 січня Макс Юстич опублікував повідомлення про вразливість уразливого клієнта. Використовуючи методи Man in the Middle, зловмисник може перехоплювати влучну комунікацію під час завантаження програмного пакету, замінювати потрібний вміст пакету власним бінарним файлом та виконувати його з привілеями root.

2. Віддалене виконання коду в apt / apt-get - Макс Юстич

   Я знайшов вразливість у apt, що дозволяє мережевому людині посередині (або зловмисному дзеркалу пакета) виконувати довільний код як корінь на машині, що встановлює будь-який пакет. Помилка була виправлена ​​в останніх версіях apt. Якщо ви переживаєте за те, щоб вас не використовували під час оновлення, ви можете захистити себе, відключивши переадресацію HTTP під час оновлення.

Я відкрив посилання, яке ви надали, щоб отримати номер CVE, а потім ознайомився за допомогою пошукової системи

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Поки у вас вказані пакунки, що містять виправлення, ви будете в порядку. Щоб отримати докладніші відомості, перегляньте нотатки безпеки Ubuntu.

Так, це точно визначено.

Найкращий спосіб відстеження проблем із безпекою - це використання номера CVE. Саме для цього використовуються номери CVE. У цьому випадку ви, здається, переживаєте за CVE-2019-3462

CVE можуть мати більше одного пов'язаного звіту про помилку. Ви можете знайти всі помилки для цього конкретного CVE за адресою https://bugs.launchpad.net/bugs/cve/2019-3462 . Програма пошуку помилок підкаже, які помилки виправлені в яких випусках Ubuntu та коли виправлені файли.

Після виправлення цього конкретного CVE команда з безпеки Ubuntu розповіла про цю проблему та виправлення у своєму подкасті від 29 січня 2019 року. Це коротко і варто слухати.

Якщо говорити про вразливості безпеки, так званий номер CVE використовується для всієї галузі для позначення певної вразливості. Кожен, хто реагує на вразливість, незалежно від дистрибутиву Linux, буде використовувати той самий номер CVE для позначення.

У статтях, на які ви посилалися, було показано номер CVE: CVE-2019-3462

Коли у вас є номер CVE для будь-якої проблеми із безпекою, ви можете шукати його в трекер Ubuntu CVE, щоб знайти його поточний статус в Ubuntu, включаючи:

• Опис вразливості
• Посилання на повідомлення про безпеку Ubuntu щодо вразливості, якщо вони є
• Статус вразливості в кожному підтримуваному дистрибутиві Ubuntu
• Номери версій пакетів фіксованих пакетів, коли вони стають доступними
• Зовнішні посилання на інформацію про вразливість

Коли стан вашого розповсюдження відображається як "випущений", пакет із виправленням готовий до завантаження і повинен бути доступний після наступного запуску sudo apt update.

Щоб перевірити встановлену вами версію пакета, ви можете скористатися dpkg -s. Наприклад:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10