Cette vulnérabilité apt (CVE-2019-3462) est-elle un problème de sécurité pour les utilisateurs d'Ubuntu?

Je suis nouveau sur le serveur Ubuntu. J'ai trouvé cet article sur une vulnérabilité dans l'APT de Debian. Pensez-vous que ce problème a été résolu?

1. Une vulnérabilité dans l'aptitude de Debian permet un déplacement latéral facile dans les centres de données

   Le 22 janvier, Max Justicz a publié un article détaillant une vulnérabilité dans le client apt. En utilisant les techniques de Man in the Middle, un attaquant peut intercepter la communication apt pendant qu'il télécharge un package logiciel, remplacer le contenu du package demandé par leur propre binaire et l'exécuter avec les privilèges root.

2. Exécution de code à distance dans apt / apt-get - Max Justicz

   J'ai trouvé une vulnérabilité dans apt qui permet à un homme du réseau (ou un miroir de package malveillant) d'exécuter du code arbitraire en tant que root sur une machine installant n'importe quel package. Le bug a été corrigé dans les dernières versions d'apt. Si vous craignez d'être exploité pendant le processus de mise à jour, vous pouvez vous protéger en désactivant les redirections HTTP pendant la mise à jour.

J'ai ouvert un lien que vous avez fourni pour saisir le numéro CVE, puis j'ai regardé en utilisant un moteur de recherche pour plus de détails

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Tant que les packages répertoriés contiennent le correctif, tout ira bien. Pour plus de détails, consultez les notes de sécurité d'Ubuntu.

Oui, c'est définitivement corrigé.

La meilleure façon de suivre les problèmes de sécurité consiste à utiliser un numéro CVE. C'est à cela que servent les numéros CVE. Dans ce cas, vous semblez inquiet à propos de CVE-2019-3462

Les CVE peuvent avoir plusieurs rapports de bogues associés. Vous pouvez trouver tous les bogues de ce CVE particulier sur https://bugs.launchpad.net/bugs/cve/2019-3462 . Le suivi des bogues vous indiquera quels bogues sont corrigés dans quelles versions d'Ubuntu et quand les correctifs ont été téléchargés.

Après avoir corrigé ce CVE particulier, l'équipe de sécurité d'Ubuntu a parlé de ce problème et du correctif dans son podcast du 29 janvier 2019. Il est bref et mérite d'être écouté.

Lorsque l'on parle de vulnérabilités de sécurité, le soi-disant numéro CVE est utilisé dans toute l'industrie pour faire référence à une vulnérabilité spécifique. Quiconque répond à la vulnérabilité, quelle que soit la distribution Linux, utilisera le même numéro CVE pour s'y référer.

Dans les articles auxquels vous avez fait référence, le numéro CVE était indiqué: CVE-2019-3462

Une fois que vous avez le numéro CVE pour tout problème de sécurité, vous pouvez le rechercher dans Ubuntu CVE Tracker pour trouver son état actuel dans Ubuntu, y compris:

• Une description de la vulnérabilité
• Liens vers les avis de sécurité d'Ubuntu pour la vulnérabilité, le cas échéant
• L'état de la vulnérabilité dans chaque distribution Ubuntu prise en charge
• Numéros de version des packages des packages fixes, lorsqu'ils deviennent disponibles
• Liens externes vers des informations sur la vulnérabilité

Lorsque le statut de votre distribution apparaît comme "publié", un package avec le correctif est prêt à être téléchargé et devrait être disponible après la prochaine exécution sudo apt update.

Pour vérifier la version d'un package que vous avez installé, vous pouvez utiliser dpkg -s. Par exemple:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10