Ist diese passende Sicherheitsanfälligkeit (CVE-2019-3462) ein Sicherheitsrisiko für Ubuntu-Benutzer?

Ich bin neu bei Ubuntu Server. Ich habe diesen Beitrag über eine Sicherheitslücke in Debians APT gefunden. Denken Sie, dass dieses Problem behoben wurde?

1. Eine Sicherheitslücke in Debians Wohnung ermöglicht eine einfache seitliche Bewegung in Rechenzentren

   Am 22. Januar veröffentlichte Max Justicz einen Bericht über eine Sicherheitslücke im apt-Client. Mithilfe von Man in the Middle-Techniken kann ein Angreifer die passende Kommunikation abfangen, während er ein Softwarepaket herunterlädt, den angeforderten Paketinhalt durch eine eigene Binärdatei ersetzen und ihn mit Root-Rechten ausführen.

2. Remote-Code-Ausführung in apt / apt-get - Max Justicz

   Ich habe in apt eine Sicherheitslücke gefunden, die es einem Netzwerk-Man-in-the-Middle (oder einem böswilligen Paketspiegel) ermöglicht, beliebigen Code als Root auf einem Computer auszuführen, auf dem ein beliebiges Paket installiert wird. Der Fehler wurde in den neuesten Versionen von apt behoben. Wenn Sie befürchten, während des Aktualisierungsvorgangs ausgenutzt zu werden, können Sie sich schützen, indem Sie die HTTP-Weiterleitungen während des Updates deaktivieren.

Ich habe einen von Ihnen angegebenen Link geöffnet, um die CVE-Nummer abzurufen, und dann mithilfe einer Suchmaschine nach Details gesucht

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Solange die Pakete so aufgeführt sind, dass sie das Update enthalten, ist alles in Ordnung. Weitere Informationen finden Sie in den Ubuntu-Sicherheitshinweisen.

Ja, es ist definitiv behoben.

Der beste Weg, um Sicherheitsprobleme zu verfolgen, ist die Verwendung einer CVE-Nummer. Dafür sind CVE-Nummern da. In diesem Fall scheinen Sie sich Sorgen um CVE-2019-3462 zu machen

CVEs können mehr als einen verwandten Fehlerbericht haben. Sie finden alle Fehler für diesen bestimmten CVE unter https://bugs.launchpad.net/bugs/cve/2019-3462 . Der Bug-Tracker teilt Ihnen mit, welche Fehler in welchen Ubuntu-Versionen behoben wurden und wann die Fixes hochgeladen wurden.

Nach der Behebung dieses speziellen CVE sprach das Ubuntu-Sicherheitsteam in seinem Podcast vom 29. Januar 2019 über dieses Problem und die Behebung . Es ist kurz und hörenswert.

Bei Sicherheitslücken wird die sogenannte CVE-Nummer branchenweit verwendet, um auf eine bestimmte Sicherheitslücke hinzuweisen. Jeder, der auf die Sicherheitsanfälligkeit reagiert, unabhängig von der Linux-Distribution, verwendet dieselbe CVE-Nummer, um darauf zu verweisen.

In den Artikeln, auf die Sie verwiesen haben, wurde die CVE-Nummer angezeigt: CVE-2019-3462

Sobald Sie die CVE-Nummer für ein Sicherheitsproblem haben, können Sie sie im Ubuntu CVE Tracker nachschlagen , um den aktuellen Status in Ubuntu zu ermitteln, einschließlich:

• Eine Beschreibung der Sicherheitsanfälligkeit
• Links zu Ubuntu-Sicherheitshinweisen für die Sicherheitsanfälligkeit, falls verfügbar
• Der Status der Sicherheitsanfälligkeit in jeder unterstützten Ubuntu-Distribution
• Paketversionsnummern von festen Paketen, sobald diese verfügbar sind
• Externe Links zu Informationen über die Sicherheitsanfälligkeit

Wenn der Status Ihrer Distribution als "freigegeben" angezeigt wird, kann ein Paket mit dem Fix heruntergeladen werden und sollte nach der nächsten Ausführung verfügbar sein sudo apt update.

Sie können die Version eines von Ihnen installierten Pakets überprüfen dpkg -s. Zum Beispiel:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10