Se si desidera installare un programma su Debian/Ubuntu/Linux Mint distribuzione di famiglia, è quasi sempre utilizzando il core del programma di installazione software programma Advanced Package Tool (apt). Funziona bene, ma il ricercatore di sicurezza Max Justicz recentemente trovato un brutto modo per fare un man-in-the-middle attack su apt.
Aggiungere il sale a questa ferita, Justicz trovato il foro di consentire a un utente malintenzionato di eseguire codice arbitrario come root, su qualsiasi sistema di installare qualsiasi pacchetto. Per capire come attacchi, è necessario capire come apt funziona.
Apt è un front-end per il dpkg sistema di imballaggio. Un sistema di confezionamento, a sua volta, è un database di “pacchetti” i file devono essere installati per un programma, come ad esempio Firefox, per l’esecuzione. Con apt, trovare e installare nuovi programmi, programmi di aggiornamento, rimuovere programmi e aggiornare il vostro locale dbkg database.
Così lontano, così buono. Ma, quando apt installa un nuovo programma o aggiornamento di uno esistente, non controllare per vedere se qualcosa è sbagliato con un pacchetto di richieste Uniform Resource Identifier (URI). Invece, appena confronta PGP hash restituito dalla URI Fatto di risposta con i valori del pacchetto firmato manifesto. Ma, dal momento che l’uomo-in-the-middle attaccante controlla il segnalati hash, si può andare a loro per fare un malware pacchetto sembrano legittimi.
Come Ubuntu apt messaggio di sicurezza, ha dichiarato, “apt, a partire dalla versione 0.8.15, decodifica Url di destinazione del redirect, ma non li controlla per i ritorni a capo, permettendo MiTM attaccanti (o repository specchi) per iniettare arbitrario intestazioni nel risultato restituito al processo principale. Se l’URL incorpora hash della supposta file, si può, pertanto, essere utilizzato per disattivare qualsiasi convalida del file scaricato, come il falso hash essere anteposto a fronte del diritto hash”.
Justicz ha mostrato che egli potrebbe ottenere un dannoso .deb in un sistema di destinazione utilizzando il Rilascio.gpg file. Questo file è sempre tirato durante l’apt di aggiornamento e di solito è installato in una posizione prevedibile.
Justicz dimostrato che si può essere così ovvio come:
<oops.deb contenuti>
—–BEGIN PGP SIGNATURE—–
…
—–END PGP SIGNATURE—–
E qualunque cosa “oops” punti verrà installato.
Egli ha anche sottolineato che, “per impostazione predefinita, Debian e Ubuntu sia normale http repository.” Mentre c’è un acceso dibattito sul fatto che il più sicuro https effettivamente migliorato apt di sicurezza, Justicz conosce la sua posizione: “non sarei stato in grado di sfruttare la Dockerfile all’inizio di questo post, se il pacchetto di default server utilizzando https.”
Così, come il male è davvero questo? Male.
Yves-Alexis Perez, un membro del team di sicurezza di Debian, ha scritto: “Questa vulnerabilità può essere sfruttata da un attaccante trova un man-in-the-middle, tra APT e uno specchio di inserire contenuti dannosi in connessione HTTP. Questo contenuto può quindi essere riconosciuto come un valido pacchetto con APT e successivamente utilizzati per l’esecuzione di codice con i privilegi di root sul computer di destinazione.”
Deve leggere
La civiltà VI Gold Ed. per Mac e Linux per $27 CNET
Perché si dovrebbe usare apt-get purge TechRepublic
Come potenzialmente dannoso come questo bug potrebbe essere, la patch è già disponibile per Debian e Ubuntu. Patch sarà presto disponibile anche per Mint e Debian/Ubuntu-based distribuzioni Linux. Quando si esegue la patch di apt, il team di sicurezza di Debian consiglia di prendere azioni.
Disattivare reindirizza al fine di impedire lo sfruttamento, con i seguenti comandi come utente root:
apt -o Acquire::http::AllowRedirect=false aggiornamento
apt -o Acquire::http::AllowRedirect=false aggiornamento
La cattiva notizia è: “Questo è noto per la rottura di qualche proxy quando utilizzato contro security.debian.org. Se ciò accade, le persone possono passare la loro sicurezza APT origine: deb http://cdn-fastly.deb.debian.org/debian-security stable/updates main”.
Così, purché si sposta prontamente per aggiornare i propri sistemi, questa nuova falla di sicurezza non dovrebbe essere un problema. Detto questo, non si vuole aspettare troppo a lungo. Sarà sfruttata. È solo una questione di tempo.
Storie Correlate:
Nuovo Linux Systemd falle di sicurezza scoperte
Nuova falla di sicurezza impatti maggior parte delle distribuzioni Linux e BSD
La maggior parte dei router di casa non approfittano di Linux funzionalità di sicurezza avanzate
Argomenti Correlati:
Linux
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati