¿Es esta vulnerabilidad adecuada (CVE-2019-3462) una preocupación de seguridad para los usuarios de Ubuntu?

8

Soy nuevo en el servidor Ubuntu. Encontré esta publicación sobre una vulnerabilidad en el APT de Debian. ¿Crees que este problema se ha resuelto?

  1. Una vulnerabilidad en el apt de Debian permite un fácil movimiento lateral en los centros de datos.

    El 22 de enero, Max Justicz publicó un artículo que detalla una vulnerabilidad en el cliente apt. Utilizando las técnicas de Man in the Middle, un atacante puede interceptar la comunicación adecuada mientras descarga un paquete de software, reemplaza el contenido del paquete solicitado con su propio binario y lo ejecuta con privilegios de root.

  2. Ejecución remota de código en apt / apt-get - Max Justicz

    Encontré una vulnerabilidad en apt que permite que un hombre en el medio de la red (o un espejo malicioso de paquetes) ejecute código arbitrario como root en una máquina que instala cualquier paquete. El error se ha corregido en las últimas versiones de apt. Si le preocupa ser explotado durante el proceso de actualización, puede protegerse deshabilitando los redireccionamientos HTTP mientras realiza la actualización.

Abdul
fuente
1
Es bueno para resumir o incluir un poco relevante de la página vinculada a la pregunta (o respuesta) en caso de que la página desaparece y para hacer lo que está diciendo evidente por sí mismo
thomasrutter

Respuestas:

8

Abrí un enlace que me proporcionó para obtener el número de CVE, luego busqué detalles en un motor de búsqueda

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

Siempre que tenga los paquetes listados como que contienen la solución, estará bien. Para más detalles, consulte las notas de seguridad de Ubuntu.

guiverc
fuente
Gracias la informacion. Espero que esto me ayude a usar Ubuntu nuevamente.
Abdul
8

Sí, definitivamente está arreglado.

La mejor manera de rastrear problemas de seguridad es usar un número CVE. Para eso están los números CVE. En este caso, parece estar preocupado por CVE-2019-3462

Los CVE pueden tener más de un informe de error relacionado. Puede encontrar todos los errores para este CVE en particular en https://bugs.launchpad.net/bugs/cve/2019-3462 . El rastreador de errores le dirá qué errores se corrigieron en qué versiones de Ubuntu y cuándo se cargaron las correcciones.

Después de arreglar este CVE en particular, el equipo de seguridad de Ubuntu habló sobre este problema y la solución en su podcast del 29 de enero de 2019. Es breve y vale la pena escucharlo.

usuario535733
fuente
Me alegra saberlo. Gracias
Abdul
3

Cuando se habla de vulnerabilidades de seguridad, el llamado número CVE se usa en toda la industria para referirse a una vulnerabilidad específica. Todos los que respondan a la vulnerabilidad, independientemente de la distribución de Linux, usarán el mismo número CVE para referirse a ella.

En los artículos a los que hizo referencia, se mostró el número CVE: CVE-2019-3462

Una vez que tenga el número CVE para cualquier problema de seguridad, puede buscarlo en el Rastreador CVE de Ubuntu para encontrar su estado actual en Ubuntu, que incluye:

  • Una descripción de la vulnerabilidad.
  • Enlaces a Avisos de seguridad de Ubuntu para la vulnerabilidad, si están disponibles
  • El estado de la vulnerabilidad en cada distribución de Ubuntu compatible
  • Números de versión de paquete de paquetes fijos, cuando estén disponibles
  • Enlaces externos a información sobre la vulnerabilidad

Cuando el estado de su distribución se muestra como "liberado", entonces un paquete con la corrección está listo para descargar, y debería estar disponible después de la próxima vez que lo ejecute sudo apt update.

Para verificar la versión de un paquete que ha instalado, puede usar dpkg -s. Por ejemplo:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10
Michael Hampton
fuente
Espero que esto me ayude a asegurar mi blog :). Porque mi blog de repente tenía un complemento dañado cuando lo actualicé, lo cual estaba bien antes.
Abdul
@Abdul ¿No tienes idea? Preguntaste sobre la vulnerabilidad en apt, no sobre tu blog.
Michael Hampton
Disculpe, soy nuevo en Ubuntu y no tengo mucho conocimiento al respecto. Estaba pensando que si la vulnerabilidad permitía a las personas instalar su binario, podría dañar la cosa dentro del servidor, incluido mi blog. Quizás soy paranoico.
Abdul
@Abdul No hay forma de demostrar que su máquina no estaba comprometida. Si tiene motivos para sospechar un compromiso, reinstale el sistema operativo.
Michael Hampton