Esta vulnerabilidade apt (CVE-2019-3462) é uma preocupação de segurança para usuários do Ubuntu?

Eu sou novo no servidor Ubuntu. Eu encontrei este post sobre uma vulnerabilidade no APT do Debian. Você acha que esse problema foi resolvido?

1. Uma vulnerabilidade no apt do Debian permite fácil movimentação lateral nos data centers

   Em 22 de janeiro, Max Justicz publicou uma redação detalhando uma vulnerabilidade no cliente apt. Usando técnicas Man in the Middle, um invasor pode interceptar a comunicação apt enquanto baixa um pacote de software, substitui o conteúdo do pacote solicitado por seu próprio binário e executa-o com privilégios de root.

2. Execução remota de código no apt / apt-get - Max Justicz

   Eu encontrei uma vulnerabilidade no apt que permite que um man-in-the-middle da rede (ou um espelho de pacote mal-intencionado) execute código arbitrário como root em uma máquina que instala qualquer pacote. O bug foi corrigido nas últimas versões do apt. Se você está preocupado em ser explorado durante o processo de atualização, pode se proteger desativando os redirecionamentos HTTP enquanto atualiza.

Abri um link que você forneceu para pegar o número CVE e, em seguida, procurei um mecanismo de pesquisa para obter detalhes

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Contanto que você tenha os pacotes listados como contendo a correção, você ficará bem. Para mais detalhes, consulte as notas de segurança do Ubuntu.

Sim, é definitivamente fixo.

A melhor maneira de rastrear problemas de segurança é usar um número CVE. É para isso que servem os números CVE. Nesse caso, você parece estar preocupado com o CVE-2019-3462

Os CVEs podem ter mais de um relatório de erro relacionado. Você pode encontrar todos os erros desse CVE específico em https://bugs.launchpad.net/bugs/cve/2019-3462 . O rastreador de erros informará quais erros foram corrigidos, em quais versões do Ubuntu e quando as correções foram carregadas.

Após corrigir esse CVE em particular, a Equipe de Segurança do Ubuntu falou sobre esse problema e a correção em seu podcast de 29 de janeiro de 2019. É breve e vale a pena ouvir.

Ao falar de vulnerabilidades de segurança, o chamado número CVE é usado em todo o setor para se referir a uma vulnerabilidade específica. Todos que responderem à vulnerabilidade, independentemente da distribuição do Linux, usarão o mesmo número CVE para se referir a ela.

Nos artigos que você referenciou, o número da CVE foi mostrado: CVE-2019-3462

Depois de ter o número do CVE para qualquer problema de segurança, você pode procurá-lo no Ubuntu CVE Tracker para encontrar seu status atual no Ubuntu, incluindo:

• Uma descrição da vulnerabilidade
• Links para avisos de segurança do Ubuntu para a vulnerabilidade, se disponível
• O status da vulnerabilidade em cada distribuição suportada do Ubuntu
• Números de versão do pacote de pacotes fixos, quando eles se tornam disponíveis
• Links externos para informações sobre a vulnerabilidade

Quando o status da sua distribuição é exibido como "liberado", um pacote com a correção está pronto para download e deve estar disponível após a próxima execução sudo apt update.

Para verificar a versão de um pacote que você instalou, você pode usar dpkg -s. Por exemplo:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10