この適切な脆弱性(CVE-2019-3462)は、Ubuntuユーザーのセキュリティ上の懸念事項ですか?
Ubuntuサーバーは初めてです。 DebianのAPTの脆弱性に関するこの投稿を見つけました。この問題は解決されたと思いますか?
Debianのaptの脆弱性により、データセンターでの横方向の移動が容易になります
1月22日、Max Justiczがaptクライアントの脆弱性を詳述した記事を公開しました。攻撃者はMan in the Middleの手法を使用して、ソフトウェアパッケージをダウンロードしている間に適切な通信を傍受し、要求されたパッケージコンテンツを独自のバイナリで置き換え、ルート権限で実行することができます。
apt/apt-getでのリモートコード実行-Max Justicz
ネットワークの中間者(または悪意のあるパッケージミラー)が任意のパッケージをインストールするマシンでrootとして任意のコードを実行できるようにするaptの脆弱性を発見しました。バグはaptの最新バージョンで修正されています。更新プロセス中に悪用されることが心配な場合は、更新中にHTTPリダイレクトを無効にすることにより、自分自身を保護できます。
CVE番号を取得するために提供されたリンクを開き、検索エンジンを使用して詳細を調べました
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html
> Ubuntu 12.04 ESM (Precise Pangolin): released > (0.8.16~exp12ubuntu10.28) > Ubuntu 14.04 LTS (Trusty Tahr): released > (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus): released > (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released > (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish): released > (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo): released (1.8.0~alpha3.1)
修正が含まれているパッケージがリストされている限り、問題ありません。詳細については、Ubuntuのセキュリティノートを確認してください。
はい、間違いなく修正されています。
セキュリティの問題を追跡する最良の方法は、CVE番号を使用することです。それがCVE番号の目的です。この場合、CVE-2019-3462が気になるようです
CVEには複数の関連するバグレポートがある場合があります。 https://bugs.launchpad.net/bugs/cve/2019-3462 で、この特定のCVEのすべてのバグを見つけることができます。バグトラッカーは、Ubuntuのどのリリースで修正されたバグか、修正がいつアップロードされたかを通知します。
この特定のCVEを修正した後、Ubuntuのセキュリティチームはこの問題とその修正について、2019年1月29日の podcast で話しました。
セキュリティの脆弱性といえば、業界全体で特定の脆弱性を指すためにいわゆるCVE番号が使用されています。 Linuxディストリビューションに関係なく、この脆弱性に対応するすべての人は、同じCVE番号を使用してそれを参照します。
あなたが参照した記事では、CVE番号が示されていました:CVE-2019-3462
セキュリティ問題のCVE番号を取得したら、 buntu CVE Tracker でそれを調べて、Ubuntuでの現在のステータスを確認できます。
- 脆弱性の説明
- 脆弱性の buntu Security Notices へのリンク(利用可能な場合)
- サポートされている各Ubuntuディストリビューションの脆弱性のステータス
- 修正パッケージが利用可能になったときのパッケージバージョン番号
- 脆弱性に関する情報への外部リンク
ディストリビューションのステータスが「リリース済み」と表示されたら、修正を含むパッケージをダウンロードする準備ができており、次回Sudo apt updateを実行した後に利用可能になります。
インストールしたパッケージのバージョンを確認するには、dpkg -sを使用できます。例えば:
error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10