我是 Ubuntu 服务器的新手。我发现这篇文章是关于 Debian 的 APT 中的一个漏洞的。你认为这个问题已经解决了吗?
1 月 22 日,Max Justicz 发表了一篇文章,详细描述了 apt 客户端中的一个漏洞。使用中间人技术,攻击者可以在下载软件包时拦截 apt 通信,用他们自己的二进制文件替换请求的软件包内容,并以 root 权限执行它。
apt/apt-get 中的远程代码执行 - Max Justicz
我在 apt 中发现了一个漏洞,它允许网络中间人(或恶意包镜像)在安装任何包的机器上以 root 身份执行任意代码。该错误已在最新版本的 apt 中修复。如果您担心在更新过程中被利用,您可以通过在更新时禁用 HTTP 重定向来保护自己。
我打开了您提供的链接以获取 CVE 编号,然后使用搜索引擎查看详细信息
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html
Run Code Online (Sandbox Code Playgroud)> Ubuntu 12.04 ESM (Precise Pangolin): released > (0.8.16~exp12ubuntu10.28) > Ubuntu 14.04 LTS (Trusty Tahr): released > (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus): released > (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released > (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish): released > (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo): released (1.8.0~alpha3.1)
只要您将软件包列为包含修复程序,就可以了。有关更多详细信息,请查看 Ubuntu 安全说明。
是的,它肯定是固定的。
跟踪安全问题的最佳方法是使用 CVE 编号。这就是 CVE 编号的用途。在这种情况下,您似乎担心 CVE-2019-3462
CVE 可能有多个相关的错误报告。您可以在https://bugs.launchpad.net/bugs/cve/2019-3462找到此特定 CVE 的所有错误。错误跟踪器会告诉您在 Ubuntu 的哪个版本中修复了哪些错误,以及修复何时上传。
在修复了这个特定的 CVE 之后,Ubuntu 安全团队在2019 年 1 月 29 日的播客中讨论了这个问题和修复。它很简短,值得一听。
| 归档时间: |
|
| 查看次数: |
1981 次 |
| 最近记录: |