我是 Ubuntu 服务器的新手。我发现了这篇关于 Debian 的 APT 漏洞的帖子。您认为这个问题已经解决了吗?
Debian apt 中存在漏洞,可导致数据中心轻松发生横向移动
1 月 22 日,Max Justicz 发表了一篇文章,详细介绍了 apt 客户端的一个漏洞。利用中间人攻击技术,攻击者可以在 apt 下载软件包时拦截其通信,用自己的二进制文件替换所请求的软件包内容,并以 root 权限执行它。
apt/apt-get 中的远程代码执行 - Max Justicz
我在 apt 中发现了一个漏洞,该漏洞允许网络中间人(或恶意软件包镜像)在安装任何软件包的机器上以 root 身份执行任意代码。该漏洞已在最新版本的 apt 中修复。如果您担心在更新过程中被利用,您可以通过在更新时禁用 HTTP 重定向来保护自己。
答案1
我打开了您提供的链接以获取 CVE 编号,然后使用搜索引擎查找详细信息
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html
> Ubuntu 12.04 ESM (Precise Pangolin): released > (0.8.16~exp12ubuntu10.28) > Ubuntu 14.04 LTS (Trusty Tahr): released > (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus): released > (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released > (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish): released > (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo): released (1.8.0~alpha3.1)
只要您列出的软件包包含修复程序,您就没问题。有关更多详细信息,请查看 Ubuntu 安全说明。
答案2
是的,确实已经修复。
跟踪安全问题的最佳方法是使用 CVE 编号。这就是 CVE 编号的用途。在本例中,您似乎担心的是 CVE-2019-3462
CVE 可能有多个相关错误报告。您可以在以下位置找到此特定 CVE 的所有错误https://bugs.launchpad.net/bugs/cve/2019-3462。错误跟踪器将告诉您 Ubuntu 的哪个版本中修复了哪些错误,以及修复程序何时上传。
在修复此特定 CVE 后,Ubuntu 安全团队在其播客2019 年 1 月 29 日。很简短,值得一听。
答案3
当谈到安全漏洞时,整个行业都会使用所谓的 CVE 编号来指代特定漏洞。无论 Linux 发行版如何,响应漏洞的每个人都会使用相同的 CVE 编号来指代它。
在您引用的文章中,显示的 CVE 编号为:CVE-2019-3462
获得任何安全问题的 CVE 编号后,您可以在Ubuntu CVE 跟踪器在 Ubuntu 中查找其当前状态,包括:
- 漏洞描述
- 链接至Ubuntu 安全声明漏洞(如果有)
- 每个受支持的 Ubuntu 发行版中漏洞的状态
- 修复软件包可用时的软件包版本号
- 指向漏洞信息的外部链接
当您的发行版的状态显示为“已发布”时,则已准备好下载包含修复的软件包,并且应该在您下次运行后可用sudo apt update。
要检查已安装软件包的版本,可以使用dpkg -s。例如:
error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10