এটি কী উপযুক্ত দুর্বলতা (CVE-2019-3462) উবুন্টু ব্যবহারকারীদের জন্য সুরক্ষা উদ্বেগ?

আমি উবুন্টু সার্ভারে নতুন। আমি ডেবিয়ান এর এপিটিতে একটি দুর্বলতা সম্পর্কে এই পোস্টটি পেয়েছি। আপনি কি মনে করেন যে এই সমস্যাটি সমাধান হয়েছে?

1. ডেবিয়ানের উপযুক্ত বিষয়গুলির একটি দুর্বলতা ডেটা সেন্টারে সহজে পার্শ্বীয় চলাচলের অনুমতি দেয়

   ২২ শে জানুয়ারী, ম্যাক্স জাস্টিকস অ্যাপটি ক্লায়েন্টের দুর্বলতার বিবরণ সহ একটি লেখা প্রকাশ করেছিলেন। ম্যান ইন দ্য মিডল কৌশলগুলি ব্যবহার করে, আক্রমণকারী কোনও অ্যাপ্লিকেশন যোগাযোগকে বিরত রাখতে পারে যখন এটি একটি সফ্টওয়্যার প্যাকেজ ডাউনলোড করে, অনুরোধকৃত প্যাকেজ সামগ্রীটিকে তাদের বাইনারি দিয়ে প্রতিস্থাপন করতে পারে এবং এটি রুট সুবিধাগুলি দিয়ে কার্যকর করতে পারে।

2. এপিটি / এপট-গেটে রিমোট কোড এক্সিকিউশন - সর্বোচ্চ জাস্টিক্স

   আমি অ্যাপে এমন একটি দুর্বলতা খুঁজে পেয়েছি যা কোনও নেটওয়ার্কের ম্যান-ইন-দ্য মিডল (বা দূষিত প্যাকেজ মিরর) কোনও প্যাকেজ ইনস্টল করার মেশিনে রুট হিসাবে স্বেচ্ছাসেবক কোড চালায় ute বাগটি অ্যাপের সর্বশেষ সংস্করণে স্থির করা হয়েছে। আপনি যদি আপডেট প্রক্রিয়া চলাকালীন শোষণের বিষয়ে উদ্বিগ্ন হন তবে আপনি আপডেট করার সময় এইচটিটিপি পুনর্নির্দেশগুলি অক্ষম করে নিজেকে রক্ষা করতে পারেন।

আপনি সিভিই নম্বর দখল করার জন্য প্রদত্ত একটি লিঙ্কটি খুললাম, তারপরে বিশদগুলির জন্য অনুসন্ধান ইঞ্জিন ব্যবহার করে দেখলাম

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3462.html

> Ubuntu 12.04 ESM (Precise Pangolin):    released
> (0.8.16~exp12ubuntu10.28)
> Ubuntu 14.04 LTS (Trusty Tahr): released
> (1.0.1ubuntu2.19) Ubuntu 16.04 LTS (Xenial Xerus):  released
> (1.2.29ubuntu0.1) Ubuntu 18.04 LTS (Bionic Beaver): released
> (1.6.6ubuntu0.1) Ubuntu 18.10 (Cosmic Cuttlefish):  released
> (1.7.0ubuntu0.1) Ubuntu 19.04 (Disco Dingo):    released (1.8.0~alpha3.1)

যতক্ষণ আপনার প্যাকেজগুলি ফিক্স যুক্ত হিসাবে তালিকাভুক্ত থাকে আপনি ঠিক থাকবেন। আরও তথ্যের জন্য, উবুন্টু সুরক্ষা নোট পরীক্ষা করুন।

হ্যাঁ, এটি অবশ্যই স্থির।

সুরক্ষা সমস্যাগুলি ট্র্যাক করার সর্বোত্তম উপায় হল একটি সিভিই নম্বর ব্যবহার করা। সিভিই নম্বরগুলি এটাই। এই ক্ষেত্রে, আপনি CVE-2019-3462 সম্পর্কে উদ্বিগ্ন বলে মনে হচ্ছে

সিভিইগুলিতে একাধিক সম্পর্কিত বাগ রিপোর্ট থাকতে পারে। আপনি এই বিশেষ সিভিইর জন্য সমস্ত বাগ https://bugs.launchpad.net/bugs/cve/2019-3462 এ পাবেন । বাগ ট্র্যাকার আপনাকে জানিয়ে দেবে যে বাগগুলি কোনটি উবুন্টু প্রকাশিত হয়েছিল এবং কখন সমাধানগুলি আপলোড করা হয়েছিল fixed

এই নির্দিষ্ট সিভিই ঠিক করার পরে, উবুন্টু সুরক্ষা দলটি এই সমস্যাটি সম্পর্কে এবং 29 জানুয়ারী 2019 এর পডকাস্টে এই ফিক্স সম্পর্কে কথা বলেছেন It's এটি সংক্ষিপ্ত, এবং শ্রবণযোগ্য।

সুরক্ষা দুর্বলতার কথা বলার সময়, একটি নির্দিষ্ট দুর্বলতা উল্লেখ করার জন্য তথাকথিত সিভিই নম্বর পুরো শিল্প জুড়ে ব্যবহৃত হয়। যারা লিনাক্স বিতরণ নির্বিশেষে দুর্বলতার প্রতি সাড়া দেয় তারা প্রত্যেকে একই সিভিই নম্বরটি ব্যবহার করে তা ব্যবহার করবে।

আপনি উল্লেখ করা নিবন্ধগুলিতে, সিভিই নম্বরটি প্রদর্শিত হয়েছিল: CVE-2019-3462

কোনও সুরক্ষা সমস্যার জন্য আপনার কাছে একবার সিভিই নম্বর পেলে আপনি উবুন্টু সিভিই ট্র্যাকারটিতে উবুন্টুতে বর্তমান অবস্থান জানতে এটি সন্ধান করতে পারেন , সহ:

• দুর্বলতার বর্ণনা
• দুর্বলতার জন্য উবুন্টু সুরক্ষা নোটিশগুলিতে লিঙ্ক , যদি পাওয়া যায়
• প্রতিটি সমর্থিত উবুন্টু বিতরণে দুর্বলতার স্থিতি
• নির্দিষ্ট প্যাকেজগুলির প্যাকেজ সংস্করণ সংখ্যাগুলি উপলভ্য হবে
• দুর্বলতা সম্পর্কে তথ্যের বাইরের লিঙ্কগুলি

যখন আপনার বিতরণের স্থিতিটি "প্রকাশিত" হিসাবে দেখায় তখন ফিক্স সহ একটি প্যাকেজ ডাউনলোড করার জন্য প্রস্তুত থাকে এবং পরের বার চালানোর পরে তা উপলব্ধ হওয়া উচিত sudo apt update।

আপনি যে প্যাকেজটি ইনস্টল করেছেন তার সংস্করণ পরীক্ষা করতে, আপনি ব্যবহার করতে পারেন dpkg -s। উদাহরণ স্বরূপ:

error@vmtest-ubuntu1804:~$ dpkg -s apt | grep ^Version
Version: 1.6.10