web-dev-qa-db-ja.com

この適切な脆弱性(CVE-2019-3462)は、Ubuntuユーザーのセキュリティ上の懸念事項ですか?

Ubuntuサーバーは初めてです。 DebianのAPTの脆弱性に関するこの投稿を見つけました。この問題は解決されたと思いますか?

  1. Debianのaptの脆弱性により、データセンターでの横方向の移動が容易になります

    1月22日、Max Justiczがaptクライアントの脆弱性を詳述した記事を公開しました。攻撃者はMan in the Middleの手法を使用して、ソフトウェアパッケージをダウンロードしている間に適切な通信を傍受し、要求されたパッケージコンテンツを独自のバイナリで置き換え、ルート権限で実行することができます。

  2. apt/apt-getでのリモートコード実行-Max Justicz

    ネットワークの中間者(または悪意のあるパッケージミラー)が任意のパッケージをインストールするマシンでrootとして任意のコードを実行できるようにするaptの脆弱性を発見しました。バグはaptの最新バージョンで修正されています。更新プロセス中に悪用されることが心配な場合は、更新中にHTTPリダイレクトを無効にすることにより、自分自身を保護できます。

8
Abdul

CVE番号を取得するために提供されたリンクを開き、検索エンジンを使用して詳細を調べました

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

修正が含まれているパッケージがリストされている限り、問題ありません。詳細については、Ubuntuのセキュリティノートを確認してください。

8
guiverc

はい、間違いなく修正されています。

セキュリティの問題を追跡する最良の方法は、CVE番号を使用することです。それがCVE番号の目的です。この場合、CVE-2019-3462が気になるようです

CVEには複数の関連するバグレポートがある場合があります。 https://bugs.launchpad.net/bugs/cve/2019-3462 で、この特定のCVEのすべてのバグを見つけることができます。バグトラッカーは、Ubuntuのどのリリースで修正されたバグか、修正がいつアップロードされたかを通知します。

この特定のCVEを修正した後、Ubuntuのセキュリティチームはこの問題とその修正について、2019年1月29日の podcast で話しました。

8
user535733

セキュリティの脆弱性といえば、業界全体で特定の脆弱性を指すためにいわゆるCVE番号が使用されています。 Linuxディストリビューションに関係なく、この脆弱性に対応するすべての人は、同じCVE番号を使用してそれを参照します。

あなたが参照した記事では、CVE番号が示されていました:CVE-2019-3462

セキュリティ問題のCVE番号を取得したら、 buntu CVE Tracker でそれを調べて、Ubuntuでの現在のステータスを確認できます。

  • 脆弱性の説明
  • 脆弱性の buntu Security Notices へのリンク(利用可能な場合)
  • サポートされている各Ubuntuディストリビューションの脆弱性のステータス
  • 修正パッケージが利用可能になったときのパッケージバージョン番号
  • 脆弱性に関する情報への外部リンク

ディストリビューションのステータスが「リリース済み」と表示されたら、修正を含むパッケージをダウンロードする準備ができており、次回Sudo apt updateを実行した後に利用可能になります。

インストールしたパッケージのバージョンを確認するには、dpkg -sを使用できます。例えば:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10
3
Michael Hampton