Является ли эта подходящая уязвимость (CVE-2019-3462) проблемой безопасности для пользователей Ubuntu?

Я новичок на сервере Ubuntu. Я нашел этот пост об уязвимости в APT Debian. Как вы думаете, эта проблема была решена?

1. Уязвимость в Debian apt делает возможным легкое боковое перемещение в центрах обработки данных

   22 января Макс Юстич опубликовал статью с описанием уязвимости в apt-клиенте. Используя методы Man in the Middle, злоумышленник может перехватить подходящее соединение, пока загружает пакет программного обеспечения, заменяет запрошенное содержимое пакета своим собственным двоичным файлом и выполняет его с привилегиями root.

2. Удаленное выполнение кода в apt / apt-get - Макс Юстич

   Я обнаружил уязвимость в apt, которая позволяет сетевому посреднику (или зеркалу вредоносного пакета) выполнять произвольный код от имени пользователя root на машине, устанавливающей любой пакет. Ошибка была исправлена ​​в последних версиях apt. Если вы беспокоитесь о том, что вас могут использовать во время процесса обновления, вы можете защитить себя, отключив перенаправления HTTP во время обновления.

Я открыл предоставленную вами ссылку, чтобы получить номер CVE, а затем посмотрел, используя поисковую систему для деталей

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Пока у вас есть пакеты с исправлением, все будет в порядке. Для более подробной информации, ознакомьтесь с примечаниями по безопасности Ubuntu.

Да, это определенно исправлено.

Лучший способ отследить проблемы безопасности - использовать номер CVE. Вот для чего нужны номера CVE. В этом случае вы, кажется, беспокоитесь о CVE-2019-3462

В CVE может быть несколько связанных сообщений об ошибках. Вы можете найти все ошибки для этого конкретного CVE по адресу https://bugs.launchpad.net/bugs/cve/2019-3462 . Система отслеживания ошибок расскажет вам, какие ошибки были исправлены, в каких выпусках Ubuntu и когда исправления были загружены.

После исправления этого конкретного CVE команда безопасности Ubuntu рассказала об этой проблеме и исправлении в своем подкасте от 29 января 2019 года. Это коротко и стоит прослушать.

Говоря об уязвимостях безопасности, так называемый номер CVE используется во всей отрасли для обозначения конкретной уязвимости. Каждый, кто откликается на уязвимость, независимо от дистрибутива Linux, будет использовать один и тот же номер CVE для ссылки на него.

В статьях, на которые вы ссылались, был указан номер CVE: CVE-2019-3462

Если у вас есть номер CVE для любой проблемы безопасности, вы можете найти его в Ubuntu CVE Tracker, чтобы узнать его текущий статус в Ubuntu, включая:

• Описание уязвимости
• Ссылки на Ubuntu Security Notices для уязвимости, если таковые имеются
• Статус уязвимости в каждом поддерживаемом дистрибутиве Ubuntu
• Номера версий пакетов фиксированных пакетов, когда они становятся доступными
• Внешние ссылки на информацию об уязвимости

Когда состояние вашего дистрибутива отображается как «выпущен», пакет с исправлением готов к загрузке и должен быть доступен после следующего запуска sudo apt update.

Чтобы проверить версию пакета, который вы установили, вы можете использовать dpkg -s. Например:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10