Canonical aktualizuje Ubuntu 16.04 LTS i 14.04 LTS – powodem podatność w APT

Maciej Olanicki , 01.03.2019 r.
ubuntu1
Jest spore grono użytkowników Ubuntu, którzy nie wyobrażają sobie migrowania co kilka miesięcy na nową wersję dystrybucji. Dla nich w pełni satysfakcjonujące będzie wydanie Long Term Support – bez przeszkód mogą oni dzięki LTS-om korzystać ze stabilnego Ubuntu, otrzymując jednocześnie aktualizacje pakietów, HES oraz oczywiście łatki bezpieczeństwa. Właśnie ukazała się nowa wersja – Ubuntu 16.04.6 LTS.

Ubuntu LTS do załatania

Canonical wydał właśnie nową wersję jednego ze starszych wersji z LTS – swoje Ubuntu mogą już aktualizować użytkownicy wydania 16.04, które wspierane będzie do kwietnia 2021 r. Nie należy się jednak spodziewać przytłaczającej liczby nowości – wydanie 16.04.6 ma na celu załatanie podatności w domyślnym menedżerze pakietów APT. Podatność wysokiego ryzyka oznaczona sygnaturą CVE-2019-3462 była już zresztą wcześniej powodem wydania Debiana 9.7.


Podatność została odkryta przez Maksa Justicza. W APT od wersji 0.8.15 umożliwia atak man-in-the-middle bądź za pomocą spreparowanych paczek dystrybuowanych przez fałszywe serwery lustrzane. APT niepoprawnie obsługiwało przekierowania HTTP, w rezultacie czego w scenariuszu MITM możliwe było wstrzyknięcie dowolnego kodu. Ten następnie był traktowany przez APT jako poprawna paczka, więc możliwe było wykonanie kodu z uprawnieniami roota.

Zobacz też: Aktualizacja Ubuntu z zachowaniem własnych PPA – jak to zrobić?

Oczywiście na tym lista zmian w Ubuntu 16.04.6 się nie kończy, niemniej wszystkie pozostałe nowości także sprowadzają się do łatania podatności, choć już nie tak groźnych. Canonical udostępnił już nowe wersje wszystkich wariantów Ubuntu, w przygotowaniu jest także łatka dla Ubuntu 14.04, którego wsparcie kończy się już w kwietniu tego roku. Ubuntu do najnowszej wersji można zaktualizować poleceniami: sudo apt-get update, a następnie sudo apt-get dist-upgrade.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: