对于Ubuntu用户来说，此适当的漏洞（CVE-2019-3462）是安全问题吗？

我是Ubuntu服务器的新手。我在Debian的APT中发现了有关漏洞的文章。您是否认为此问题已解决？

1. Debian apt中的一个漏洞使数据中心的横向移动变得容易

   1月22日，Max Justicz发表了一篇文章，详细介绍了apt客户端中的漏洞。攻击者使用中间人技术，可以在下载软件包时截获apt通信，用自己的二进制文件替换所请求的软件包内容，并以root特权执行它。

2. apt / apt-get中的远程代码执行-Max Justicz

   我在apt中发现了一个漏洞，该漏洞使网络中间人（或恶意软件包镜像）可以在安装任何软件包的计算机上以root用户身份执行任意代码。该错误已在apt的最新版本中修复。如果您担心在更新过程中被利用，可以通过在更新时禁用HTTP重定向来保护自己。

我打开了您提供的链接以获取CVE编号，然后使用搜索引擎查看了详细信息

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

只要您列出的软件包中包含该修补程序，就可以了。有关更多详细信息，请查看Ubuntu安全说明。

是的，它肯定是固定的。

跟踪安全问题的最佳方法是使用CVE号。这就是CVE号码的用途。在这种情况下，您似乎担心CVE-2019-3462

CVE可能具有多个相关的错误报告。您可以在https://bugs.launchpad.net/bugs/cve/2019-3462中找到此特定CVE的所有错误。Bug跟踪程序将告诉您在Ubuntu的哪个版本中修复了哪些错误，以及何时上传了修复程序。

修复了此特定的CVE之后，Ubuntu安全团队在2019年1月29日的播客中讨论了此问题和修复。这很简短，值得一听。

在谈到安全漏洞时，整个行业使用所谓的CVE编号来指代特定漏洞。响应此漏洞的每个人（无论Linux分发如何）都将使用相同的CVE编号来引用该漏洞。

在您引用的文章中，显示了CVE编号：CVE​​-2019-3462

获得任何安全问题的CVE编号后，可以在Ubuntu CVE Tracker中查找它，以在Ubuntu中查找其当前状态，包括：

• 漏洞描述
• 链接到该漏洞的Ubuntu安全公告（如果有）
• 每个受支持的Ubuntu发行版中漏洞的状态
• 固定软件包的软件包版本号（可用时）
• 外部链接，以获取有关该漏洞的信息

当您的分发状态显示为“已发布”时，便可以下载包含此修复程序的软件包，并且在您下次运行时应该可用sudo apt update。

要检查已安装的软件包的版本，可以使用dpkg -s。例如：

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10