Đây có phải là lỗ hổng apt (CVE-2019-3462) là mối quan tâm bảo mật cho người dùng Ubuntu không?

Tôi mới sử dụng máy chủ Ubuntu. Tôi tìm thấy bài đăng này về một lỗ hổng trong APT của Debian. Bạn có nghĩ rằng vấn đề này đã được giải quyết?

1. Một lỗ hổng trong apt của Debian cho phép di chuyển dễ dàng trong các trung tâm dữ liệu

   Vào ngày 22 tháng 1, Max Justicz đã xuất bản một bài viết chi tiết về một lỗ hổng trong ứng dụng khách apt. Sử dụng các kỹ thuật Man in the Middle, kẻ tấn công có thể chặn giao tiếp apt trong khi tải xuống gói phần mềm, thay thế nội dung gói được yêu cầu bằng nhị phân của riêng chúng và thực thi nó bằng quyền root.

2. Thực thi mã từ xa trong apt / apt-get - Max Justicz

   Tôi đã tìm thấy một lỗ hổng trong apt cho phép một người trung gian mạng (hoặc một nhân bản gói độc hại) thực thi mã tùy ý như root trên máy cài đặt bất kỳ gói nào. Lỗi đã được sửa trong các phiên bản mới nhất của apt. Nếu bạn lo lắng về việc bị khai thác trong quá trình cập nhật, bạn có thể tự bảo vệ mình bằng cách vô hiệu hóa chuyển hướng HTTP trong khi cập nhật.

Tôi đã mở một liên kết bạn cung cấp để lấy số CVE, sau đó xem bằng cách sử dụng công cụ tìm kiếm để biết chi tiết

https://people.canonical.com/~ubfox-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Miễn là bạn có các gói được liệt kê là có chứa bản sửa lỗi, bạn sẽ ổn. Để biết thêm chi tiết, hãy kiểm tra ghi chú bảo mật Ubuntu.

Vâng, nó chắc chắn đã được sửa.

Cách tốt nhất để theo dõi các vấn đề bảo mật là sử dụng số CVE. Đó là những gì số CVE dành cho. Trong trường hợp này, bạn dường như lo lắng về CVE-2019-3462

CVE có thể có nhiều báo cáo lỗi liên quan. Bạn có thể tìm thấy tất cả các lỗi cho CVE cụ thể này tại https://bugs.launchpad.net/bugs/cve/2019-3462 . Trình theo dõi lỗi sẽ cho bạn biết những lỗi nào đã được sửa trong bản phát hành Ubuntu nào và khi nào bản sửa lỗi được tải lên.

Sau khi sửa CVE cụ thể này, Nhóm bảo mật Ubuntu đã nói về vấn đề này và cách khắc phục trong podcast của họ vào ngày 29 tháng 1 năm 2019. Thật ngắn gọn và đáng để lắng nghe.

Khi nói về các lỗ hổng bảo mật, cái gọi là số CVE được sử dụng trên toàn bộ ngành để chỉ một lỗ hổng cụ thể. Mọi người phản hồi về lỗ hổng này, bất kể phân phối Linux, sẽ sử dụng cùng số CVE để đề cập đến nó.

Trong các bài viết bạn tham chiếu, số CVE đã được hiển thị: CVE-2019-3462

Khi bạn có số CVE cho bất kỳ vấn đề bảo mật nào, bạn có thể tra cứu nó trong Trình theo dõi CVE của Ubuntu để tìm trạng thái hiện tại của nó trong Ubuntu, bao gồm:

• Mô tả về lỗ hổng
• Liên kết đến Thông báo bảo mật Ubuntu cho lỗ hổng, nếu có
• Trạng thái của lỗ hổng trong mỗi bản phân phối Ubuntu được hỗ trợ
• Số phiên bản gói của các gói cố định, khi chúng có sẵn
• Liên kết bên ngoài đến thông tin về lỗ hổng

Khi trạng thái cho bản phân phối của bạn hiển thị là "đã phát hành" thì gói có bản sửa lỗi đã sẵn sàng để tải xuống và sẽ có sẵn sau lần chạy tiếp theo của bạn sudo apt update.

Để kiểm tra phiên bản của gói bạn đã cài đặt, bạn có thể sử dụng dpkg -s. Ví dụ:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10