この適切な脆弱性（CVE-2019-3462）は、Ubuntuユーザーのセキュリティ上の懸念事項ですか？

Ubuntuサーバーは初めてです。DebianのAPTの脆弱性に関するこの投稿を見つけました。この問題は解決されたと思いますか？

1. Debianのaptの脆弱性により、データセンター内での横移動が容易になる

   1月22日、Max Justiczがaptクライアントの脆弱性を詳述した記事を公開しました。攻撃者はMan in the Middleの手法を使用して、ソフトウェアパッケージをダウンロードしている間に適切な通信を傍受し、要求されたパッケージコンテンツを独自のバイナリで置き換え、ルート権限で実行することができます。

2. apt / apt-getでのリモートコード実行-Max Justicz

   ネットワークの中間者（または悪意のあるパッケージミラー）が任意のパッケージをインストールするマシンでrootとして任意のコードを実行できるようにするaptの脆弱性を発見しました。バグはaptの最新バージョンで修正されています。更新プロセス中に悪用されることが心配な場合は、更新中にHTTPリダイレクトを無効にすることにより、自分自身を保護できます。

CVE番号を取得するために提供されたリンクを開き、検索エンジンを使用して詳細を調べました

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

修正が含まれているパッケージがリストされている限り、問題ありません。詳細については、Ubuntuのセキュリティノートを確認してください。

はい、それは間違いなく修正されています。

セキュリティの問題を追跡する最良の方法は、CVE番号を使用することです。それがCVE番号の目的です。この場合、CVE-2019-3462が気になるようです

CVEには複数の関連するバグレポートがある場合があります。この特定のCVEのすべてのバグは、https： //bugs.launchpad.net/bugs/cve/2019-3462で見つけることができます。バグトラッカーは、Ubuntuのどのリリースで修正されたバグか、修正がいつアップロードされたかを通知します。

この特定のCVEを修正した後、Ubuntuセキュリティチームは2019年1月29日のポッドキャストでこの問題と修正について話しました。

セキュリティの脆弱性といえば、業界全体で特定の脆弱性を指すためにいわゆるCVE番号が使用されています。Linuxディストリビューションに関係なく、この脆弱性に対応するすべての人は、同じCVE番号を使用してそれを参照します。

あなたが参照した記事では、CVE番号が示されていました：CVE-2019-3462

セキュリティ問題のCVE番号を取得したら、Ubuntu CVEトラッカーで番号を調べて、Ubuntuでの現在のステータスを確認できます。

• 脆弱性の説明
• 脆弱性に関するUbuntuセキュリティ通知へのリンク（利用可能な場合）
• サポートされている各Ubuntuディストリビューションの脆弱性のステータス
• 修正パッケージが利用可能になったときのパッケージバージョン番号
• 脆弱性に関する情報への外部リンク

ディストリビューションのステータスが「リリース済み」と表示されたら、修正を含むパッケージをダウンロードする準備ができており、次回を実行した後に利用可能になりますsudo apt update。

インストールしたパッケージのバージョンを確認するには、を使用できますdpkg -s。例えば：

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10