Apakah kerentanan ini (CVE-2019-3462) merupakan masalah keamanan bagi pengguna Ubuntu?

Saya baru ke server Ubuntu. Saya menemukan posting ini tentang kerentanan di APT Debian. Apakah menurut Anda masalah ini telah teratasi?

1. Kerentanan dalam apt Debian memungkinkan pergerakan lateral yang mudah di pusat data

   Pada 22 Januari, Max Justicz menerbitkan sebuah tulisan yang merinci kerentanan klien apt. Dengan menggunakan teknik Man in the Middle, penyerang dapat mencegat komunikasi yang tepat saat mengunduh paket perangkat lunak, mengganti konten paket yang diminta dengan biner mereka sendiri, dan menjalankannya dengan hak akses root.

2. Eksekusi Kode Jarak Jauh di apt / apt-get - Max Justicz

   Saya menemukan kerentanan di apt yang memungkinkan network man-in-the-middle (atau mirror paket jahat) untuk mengeksekusi kode arbitrer sebagai root pada mesin yang menginstal paket apa pun. Bug telah diperbaiki pada versi terbaru dari apt. Jika Anda khawatir akan dieksploitasi selama proses pembaruan, Anda dapat melindungi diri dengan menonaktifkan pengalihan HTTP saat Anda memperbarui.

Saya membuka tautan yang Anda berikan untuk mengambil nomor CVE, lalu mencari menggunakan mesin pencari untuk detailnya

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Selama Anda memiliki paket yang terdaftar berisi perbaikan Anda akan baik-baik saja. Untuk lebih jelasnya, periksa catatan keamanan Ubuntu.

Ya, sudah pasti diperbaiki.

Cara terbaik untuk melacak masalah keamanan adalah menggunakan nomor CVE. Untuk itulah nomor CVE diperuntukkan. Dalam hal ini, Anda sepertinya khawatir tentang CVE-2019-3462

CVE mungkin memiliki lebih dari satu laporan bug terkait. Anda dapat menemukan semua bug untuk CVE khusus ini di https://bugs.launchpad.net/bugs/cve/2019-3462 . Pelacak bug akan memberi tahu Anda bug mana yang diperbaiki di mana rilis Ubuntu, dan kapan perbaikan diunggah.

Setelah memperbaiki CVE khusus ini, Tim Keamanan Ubuntu berbicara tentang masalah ini dan perbaikan di podcast mereka tanggal 29 Januari 2019. Ini singkat, dan layak untuk didengarkan.

Ketika berbicara tentang kerentanan keamanan, apa yang disebut nomor CVE digunakan di seluruh industri untuk merujuk pada kerentanan tertentu. Setiap orang yang merespons kerentanan, terlepas dari distribusi Linux, akan menggunakan nomor CVE yang sama untuk merujuknya.

Dalam artikel yang Anda referensikan, nomor CVE ditunjukkan: CVE-2019-3462

Setelah Anda memiliki nomor CVE untuk masalah keamanan apa pun, Anda dapat mencarinya di Pelacak CVE Ubuntu untuk menemukan statusnya saat ini di Ubuntu, termasuk:

• Penjelasan tentang kerentanan
• Tautan ke Pemberitahuan Keamanan Ubuntu untuk kerentanan, jika tersedia
• Status kerentanan di setiap distribusi Ubuntu yang didukung
• Paket nomor versi paket tetap, ketika tersedia
• Tautan eksternal ke informasi tentang kerentanan

Ketika status untuk distribusi Anda menunjukkan "dirilis" maka paket dengan perbaikan siap untuk diunduh, dan akan tersedia setelah waktu berikutnya Anda menjalankan sudo apt update.

Untuk memeriksa versi paket yang telah Anda instal, Anda dapat menggunakan dpkg -s. Sebagai contoh:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10