ช่องโหว่นี้เหมาะสำหรับผู้ใช้ Ubuntu หรือไม่ (CVE-2019-3462)

ฉันใหม่สำหรับเซิร์ฟเวอร์ Ubuntu ฉันพบโพสต์นี้เกี่ยวกับช่องโหว่ใน APT ของ Debian คุณคิดว่าปัญหานี้ได้รับการแก้ไขแล้วหรือยัง?

1. ช่องโหว่ใน apt ของ Debian ช่วยให้สามารถทำการเคลื่อนย้ายด้านข้างในศูนย์ข้อมูลได้อย่างง่ายดาย

   เมื่อวันที่ 22 มกราคม Max Justicz ได้ตีพิมพ์รายละเอียดช่องโหว่ในไคลเอนต์ apt การใช้เทคนิค Man in the Middle ผู้โจมตีสามารถสกัดกั้นการสื่อสาร apt ในขณะที่ดาวน์โหลดแพ็คเกจซอฟต์แวร์แทนที่เนื้อหาแพ็คเกจที่ร้องขอด้วยไบนารีของตนเองและดำเนินการด้วยสิทธิพิเศษระดับราก

2. การเรียกใช้โค้ดจากระยะไกลใน apt / apt-get - Max Justicz

   ฉันพบช่องโหว่ใน apt ที่อนุญาตให้เครือข่าย man-in-the-middle (หรือมิเรอร์แพคเกจที่เป็นอันตราย) รันโค้ดโดยพลการในฐานะรูทบนเครื่องที่ติดตั้งแพ็คเกจใด ๆ ข้อผิดพลาดได้รับการแก้ไขในเวอร์ชั่นล่าสุดของ apt หากคุณกังวลเกี่ยวกับการถูกเอารัดเอาเปรียบในระหว่างกระบวนการอัปเดตคุณสามารถป้องกันตนเองได้โดยการปิดใช้งานการเปลี่ยนเส้นทาง HTTP ในขณะที่คุณอัปเดต

ฉันเปิดลิงก์ที่คุณให้ไว้เพื่อจับหมายเลข CVE จากนั้นดูการใช้เครื่องมือค้นหาเพื่อดูรายละเอียด

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

ตราบใดที่คุณมีแพ็กเกจที่ระบุว่ามีการแก้ไขคุณจะไม่เป็นไร สำหรับรายละเอียดเพิ่มเติมให้ตรวจสอบหมายเหตุความปลอดภัยของ Ubuntu

ใช่มันได้รับการแก้ไขแน่นอน

วิธีที่ดีที่สุดในการติดตามปัญหาด้านความปลอดภัยคือการใช้หมายเลข CVE นั่นคือสิ่งที่หมายเลข CVE ใช้สำหรับ ในกรณีนี้ดูเหมือนว่าคุณกังวลเกี่ยวกับ CVE-2019-3462

CVE อาจมีรายงานบั๊กที่เกี่ยวข้องมากกว่าหนึ่งรายงาน คุณสามารถพบข้อบกพร่องทั้งหมดสำหรับ CVE นี้โดยเฉพาะที่https://bugs.launchpad.net/bugs/cve/2019-3462 ตัวติดตามข้อผิดพลาดจะบอกคุณว่ามีการแก้ไขข้อบกพร่องใดใน Ubuntu รุ่นใดและเมื่อใดที่มีการอัปโหลดการแก้ไข

หลังจากแก้ไข CVE นี้โดยเฉพาะทีมความปลอดภัยของ Ubuntu ได้พูดคุยเกี่ยวกับปัญหานี้และการแก้ไขในพอดคาสต์ของพวกเขาเมื่อวันที่ 29 มกราคม 2019 มันสั้นและคุ้มค่าที่จะฟัง

เมื่อพูดถึงช่องโหว่ด้านความปลอดภัยหมายเลข CVE ที่เรียกว่าถูกใช้ทั่วทั้งอุตสาหกรรมเพื่ออ้างอิงถึงช่องโหว่เฉพาะ ทุกคนที่ตอบสนองต่อช่องโหว่โดยไม่คำนึงถึงการแจกจ่าย Linux จะใช้หมายเลข CVE เดียวกันเพื่ออ้างอิง

ในบทความที่คุณอ้างอิงหมายเลข CVE ถูกแสดง: CVE-2019-3462

เมื่อคุณมีหมายเลข CVE สำหรับปัญหาด้านความปลอดภัยคุณสามารถค้นหาได้ในUbuntu CVE Trackerเพื่อค้นหาสถานะปัจจุบันใน Ubuntu รวมถึง:

• รายละเอียดของช่องโหว่
• ลิงค์ไปยังประกาศความปลอดภัยของ Ubuntuเพื่อหาช่องโหว่ (ถ้ามี)
• สถานะของช่องโหว่ในแต่ละการแจกจ่าย Ubuntu ที่รองรับ
• หมายเลขเวอร์ชันแพ็คเกจของแพ็กเกจคงที่เมื่อพร้อมใช้งาน
• ลิงก์ภายนอกไปยังข้อมูลเกี่ยวกับช่องโหว่

เมื่อสถานะสำหรับการแสดงการกระจายของคุณเป็น "ปล่อย" sudo apt updateแล้วแพคเกจที่มีการแก้ไขพร้อมที่จะดาวน์โหลดและควรจะพร้อมใช้งานหลังจากครั้งต่อไปที่คุณเรียก

dpkg -sหากต้องการตรวจสอบรุ่นของแพคเกจที่คุณได้ติดตั้งที่คุณสามารถใช้ ตัวอย่างเช่น:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10