Questa vulnerabilità apt (CVE-2019-3462) è un problema di sicurezza per gli utenti Ubuntu?

Sono nuovo del server Ubuntu. Ho trovato questo post su una vulnerabilità nell'APT di Debian. Pensi che questo problema sia stato risolto?

1. Una vulnerabilità nella apt di Debian consente un facile spostamento laterale nei data center

   Il 22 gennaio, Max Justicz ha pubblicato un articolo che descrive in dettaglio una vulnerabilità nel client apt. Utilizzando le tecniche Man in the Middle, un utente malintenzionato può intercettare la comunicazione apt mentre scarica un pacchetto software, sostituisce il contenuto del pacchetto richiesto con il proprio binario ed eseguirlo con i privilegi di root.

2. Esecuzione di codice in modalità remota in apt / apt-get - Max Justicz

   Ho trovato una vulnerabilità in apt che consente a una rete man-in-the-middle (o un mirror di pacchetti dannoso) di eseguire codice arbitrario come root su una macchina che installa qualsiasi pacchetto. Il bug è stato corretto nelle ultime versioni di apt. Se sei preoccupato di essere sfruttato durante il processo di aggiornamento, puoi proteggerti disabilitando i reindirizzamenti HTTP durante l'aggiornamento.

Ho aperto un link che hai fornito per afferrare il numero CVE, quindi ho cercato un dettaglio con un motore di ricerca

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Finché hai i pacchetti elencati come contenenti la correzione andrà bene. Per maggiori dettagli, consulta le note sulla sicurezza di Ubuntu.

Sì, è sicuramente risolto.

Il modo migliore per tenere traccia dei problemi di sicurezza è utilizzare un numero CVE. Ecco a cosa servono i numeri CVE. In questo caso, sembra che tu sia preoccupato per CVE-2019-3462

I CVE possono avere più di una segnalazione di bug correlata. Puoi trovare tutti i bug per questo CVE particolare su https://bugs.launchpad.net/bugs/cve/2019-3462 . Il bug tracker ti dirà quali bug sono stati corretti in quali versioni di Ubuntu e quando sono state caricate le correzioni.

Dopo aver corretto questo CVE particolare, il team di sicurezza di Ubuntu ha parlato di questo problema e della correzione nel loro podcast del 29 gennaio 2019. È breve e vale la pena ascoltarlo.

Quando si parla di vulnerabilità della sicurezza, il cosiddetto numero CVE viene utilizzato in tutto il settore per fare riferimento a una vulnerabilità specifica. Tutti coloro che rispondono alla vulnerabilità, indipendentemente dalla distribuzione Linux, useranno lo stesso numero CVE per fare riferimento ad essa.

Negli articoli a cui hai fatto riferimento, è stato mostrato il numero CVE: CVE-2019-3462

Una volta che hai il numero CVE per qualsiasi problema di sicurezza, puoi cercarlo nel Tracker CVE Ubuntu per trovare il suo stato attuale in Ubuntu, tra cui:

• Una descrizione della vulnerabilità
• Collegamenti a avvisi di sicurezza di Ubuntu per la vulnerabilità, se disponibile
• Lo stato della vulnerabilità in ciascuna distribuzione Ubuntu supportata
• Numero di versione del pacchetto di pacchetti fissi, quando diventano disponibili
• Collegamenti esterni a informazioni sulla vulnerabilità

Quando lo stato della distribuzione viene visualizzato come "rilasciato", un pacchetto con la correzione è pronto per il download e dovrebbe essere disponibile alla successiva esecuzione sudo apt update.

Per verificare la versione di un pacchetto che è stato installato, è possibile utilizzare dpkg -s. Per esempio:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10