该漏洞(CVE-2019-3462)是否是Ubuntu用户的安全问题？

Question

我是Ubuntu服务器的新手。我发现这篇文章是关于Debian的APT中的一个漏洞。你认为这个问题已经解决了吗？

1. 1月22日，Debian的apt中存在一个漏洞，可以方便地在数据中心横向移动发布了一篇文章，详细描述了apt客户端的一个漏洞。在中间技术中使用Man，攻击者可以在apt通信下载软件包时拦截它，用自己的二进制文件替换请求的包内容，并使用根权限执行它。
2. apt/apt- Max Justicz中的远程代码执行我在apt中发现了一个漏洞，允许网络中间人(或恶意包镜像)在安装任何包的机器上以根用户身份执行任意代码。这个错误在apt的最新版本中已经修复了。如果您担心在更新过程中被利用，您可以通过在更新过程中禁用HTTP重定向来保护自己。

Answer 1

是的，它肯定是固定的。

跟踪安全问题的最佳方法是使用CVE编号。这就是CVE号码的目的。在这种情况下，您似乎担心CVE-2019-3462。

CVEs可能有多个相关的bug报告。您可以在https://bugs.launchpad.net/bugs/cve/2019-3462找到这个特定CVE的所有bug。bug跟踪器将告诉您哪些bug是在Ubuntu的哪个版本中修复的，以及修复程序何时上传。

在修复了这个特定的CVE之后，Ubuntu团队在其2019年1月29日的播客中讨论了这个问题和修复。很简短，值得一听。

Answer 2

当谈到安全漏洞时，整个行业都会使用所谓的CVE编号来表示特定的漏洞。每个响应该漏洞的人，无论Linux发行版如何，都将使用相同的CVE编号来引用该漏洞。

在您所引用的文章中，CVE编号显示: CVE-2019-3462

一旦有了任何安全问题的CVE编号，就可以在Ubuntu跟踪器中查找它在Ubuntu中的当前状态，包括：

• 对漏洞的描述
• 链接到该漏洞的Ubuntu安全通知 (如果可用的话)
• 每个受支持的Ubuntu发行版中漏洞的状态
• 固定包的包版本号，当它们可用时
• 指向有关该漏洞的信息的外部链接

当发行版的状态显示为“已发布”时，有补丁的包就可以下载了，下次运行sudo apt update后应该可以下载。

若要检查已安装的包的版本，可以使用dpkg -s。例如：

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10