Является ли эта подходящая уязвимость (CVE-2019-3462) проблемой безопасности для пользователей Ubuntu?
Я новичок на сервере Ubuntu. Я нашел этот пост об уязвимости в APT Debian. Как вы думаете, эта проблема была решена?
-
Уязвимость в apt Debian делает возможным легкое боковое перемещение в центрах обработки данных
Вкл. 22 января Макс Юстич опубликовал статью с описанием уязвимости в apt-клиенте. Используя технику Man in the Middle, злоумышленник может перехватить подходящую связь, пока загружает пакет программного обеспечения, заменяет запрошенное содержимое пакета своим собственным двоичным файлом и выполняет его с привилегиями root.
-
Удаленное выполнение кода в apt / apt-get - Макс Юстич
Я обнаружил уязвимость в apt, которая позволяет сети man-in-the-middle (или зеркало вредоносного пакета) для выполнения произвольного кода от имени пользователя root на машине, устанавливающей любой пакет. Ошибка была исправлена в последних версиях apt. Если вы беспокоитесь о том, что вас могут использовать во время процесса обновления, вы можете защитить себя, отключив перенаправления HTTP во время обновления.
3 ответа
Говоря об уязвимостях безопасности, так называемый номер CVE используется во всей отрасли для обозначения конкретной уязвимости. Каждый, кто откликается на уязвимость, независимо от дистрибутива Linux, будет использовать один и тот же номер CVE для ссылки на него.
В статьях, на которые вы ссылались, был показан номер CVE: CVE-2019-3462
Если у вас есть номер CVE для любой проблемы безопасности, вы можете найти его в Ubuntu CVE Tracker. чтобы найти его текущий статус в Ubuntu, включая:
- Описание уязвимости
- Ссылки на Уведомления безопасности Ubuntu для уязвимости, если таковые имеются.
- Состояние уязвимости в каждом поддерживаемом дистрибутиве Ubuntu
- Номера версий пакетов с фиксированными пакетами, когда они становятся доступны
- Внешние ссылки на информацию об уязвимости [ 1115]
Когда состояние вашего дистрибутива отображается как «выпущен», пакет с исправлением готов к загрузке и должен быть доступен после следующего запуска sudo apt update.
Чтобы проверить версию пакета, который вы установили, вы можете использовать dpkg -s. Например:
error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10
Я открыл предоставленную вами ссылку, чтобы получить номер CVE, а затем посмотрел, используя поисковую систему, для получения подробной информации. /CVE-2019-3462.html Пока у вас есть пакеты, перечисленные как содержащие исправление, все будет в порядке. Для получения более подробной информации, ознакомьтесь с примечаниями по безопасности Ubuntu.
> Ubuntu 12.04 ESM (Precise Pangolin): released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus): released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish): released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo): released (1.8.0~alpha3.1)
Да, это определенно исправлено.
Лучший способ отследить проблемы безопасности - использовать номер CVE. Вот для чего нужны номера CVE. В этом случае вы, похоже, беспокоитесь о CVE-2019-3462
. В CVE может быть несколько связанных сообщений об ошибках. Вы можете найти все ошибки для этого конкретного CVE по адресу https://bugs.launchpad.net/bugs/cve/2019-3462 . Система отслеживания ошибок расскажет вам, какие ошибки исправлены, в каких выпусках Ubuntu и когда исправления были загружены.
После исправления этого конкретного CVE команда безопасности Ubuntu рассказала об этой проблеме и исправлении в своем подкасте от 29 января 2019 года. Это коротко и стоит послушать.