이 적절한 취약점 (CVE-2019-3462)이 우분투 사용자의 보안 문제입니까?

8

우분투 서버를 처음 사용합니다. 데비안 APT의 취약점에 대한이 게시물을 찾았습니다. 이 문제가 해결되었다고 생각하십니까?

  1. 데비안 apt의 취약점으로 인해 데이터 센터에서 쉽게 측면 이동이 가능

    1 월 22 일, Max Justicz는 apt 클라이언트의 취약점을 상세히 설명하는 글을 게시했습니다. 중간 기술에서 Man을 사용하여 공격자는 소프트웨어 패키지를 다운로드하는 동안 적절한 통신을 가로 채고 요청 된 패키지 내용을 자체 바이너리로 바꾸고 루트 권한으로 실행할 수 있습니다.

  2. apt / apt-get에서 원격 코드 실행-Max Justicz

    apt에서 네트워크 중간자 (또는 악의적 인 패키지 미러)가 패키지를 설치하는 컴퓨터에서 루트로 임의 코드를 실행할 수있는 취약점을 발견했습니다. 버그는 최신 버전의 apt에서 수정되었습니다. 업데이트 프로세스 중에 악용 될 염려가있는 경우 업데이트하는 동안 HTTP 리디렉션을 비활성화하여 자신을 보호 할 수 있습니다.

apt  security 
압둘
소스
1
페이지가 사라지고 자신이 말하는 것을 자각하기 위해 링크 된 페이지에서 질문 (또는 답변)으로 관련 비트를 요약하거나 포함시키는 것이 좋습니다
thomasrutter

답변:

8

CVE 번호를 얻기 위해 제공 한 링크를 연 다음 검색 엔진을 사용하여 자세한 내용을 확인했습니다.

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

수정 사항이 포함 된 것으로 나열된 패키지가있는 한 괜찮습니다. 자세한 내용은 Ubuntu 보안 정보를 확인하십시오.

거버
소스
정보 감사합니다. 이것이 Ubuntu를 다시 사용하는 데 도움이되기를 바랍니다.
압둘
8

예, 확실히 수정되었습니다.

보안 문제를 추적하는 가장 좋은 방법은 CVE 번호를 사용하는 것입니다. 이것이 CVE 번호입니다. 이 경우 CVE-2019-3462에 대해 걱정하는 것 같습니다.

CVE에는 둘 이상의 관련 버그 보고서가있을 수 있습니다. https://bugs.launchpad.net/bugs/cve/2019-3462 에서이 특정 CVE에 대한 모든 버그를 찾을 수 있습니다 . 버그 추적기는 Ubuntu의 어떤 릴리스에서 수정 된 버그와 수정 사항이 업로드 된시기를 알려줍니다.

이 특정 CVE를 수정 한 후 우분투 보안 팀은이 문제와 2019 년 1 월 29 일 의 팟 캐스트 에서 수정 된 사항에 대해 이야기했습니다.

사용자
소스
알게 되서 다행이야. 감사합니다
Abdul
3

보안 취약점에 대해 말할 때, 소위 CVE 번호는 특정 업계를 지칭하기 위해 전체 산업에서 사용됩니다. Linux 배포에 관계없이이 취약점에 대응하는 사람은 모두 동일한 CVE 번호를 사용하여 취약점을 나타냅니다.

참조한 기사에서 CVE 번호가 표시되었습니다. CVE-2019-3462

보안 문제에 대한 CVE 번호가 있으면 Ubuntu CVE Tracker 에서 해당 번호를 찾아 다음을 포함하여 Ubuntu의 현재 상태를 찾을 수 있습니다.

  • 취약점에 대한 설명
  • 사용 가능한 경우 취약점에 대한 Ubuntu 보안 공지 링크
  • 지원되는 각 우분투 배포판의 취약점 상태
  • 사용 가능한 고정 패키지의 패키지 버전 번호
  • 취약점 정보에 대한 외부 링크

배포 상태가 "released"로 표시되면 수정 프로그램이 포함 된 패키지를 다운로드 할 준비가되었으며 다음에 실행할 때 사용할 수 있어야합니다 sudo apt update.

설치 한 패키지의 버전을 확인하려면을 사용하십시오 dpkg -s. 예를 들면 다음과 같습니다.

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10
마이클 햄튼
소스
이것이 내 블로그를 보호하는 데 도움이되기를 바랍니다 :). 내가 전에 그것을 업그레이드했을 때 내 블로그가 갑자기 손상된 플러그인을 일으켰습니다.
Abdul
@Abdul 몰라? 블로그가 아니라 apt의 취약점에 대해 질문했습니다.
Michael Hampton
용서하십시오, 나는 우분투에 처음 왔으며 그것에 대해 많은 지식이 없습니다. 취약점으로 인해 사람들이 바이너리를 설치할 수 있다면 블로그에 포함 된 서버 내부의 내용을 손상시킬 수 있다고 생각했습니다. 어쩌면 나는 편집증일지도 모른다.
압둘
@Abdul 컴퓨터가 아직 손상되지 않았 음을 증명할 방법이 없습니다. 손상이 의심되는 경우 OS를 다시 설치하십시오.
Michael Hampton 1
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.