Hvis du vil installere et program på Debian/Ubuntu/Mint Linux-distribution familie, vil du næsten altid ender ved hjælp af den centrale software installer-programmet Advanced Package Tool (apt). Det fungerer godt, men sikkerhedsekspert Antal Justicz for nylig fundet en grim måde at lave et man-in-the-middle angreb på apt.
Tilføjelse salt til dette sår, Justicz fundet hullet ville gøre det muligt for en fjernangriber at udføre vilkårlig kode som root på et system installation af en enkelt pakke. For at forstå, hvordan det angreb, er du nødt til at forstå, hvordan apt værker.
Apt er en front-end til den dpkg pakkesystem. En emballage-system, til gengæld, er en database af “packages” – filerne skal installeres et program, som Firefox, til at køre. Med apt, så kan du finde og installere nye programmer, opgradere programmer, fjerne programmer og opdatere din lokale dbkg database.
Så langt, så godt. Men, når apt installerer et nyt program eller opdatering af en eksisterende, er det ikke ind at se, hvis noget er galt med en pakke ønskede URI (Uniform Resource Identifier). I stedet, det er bare sammenligner PGP-sikkerhed hashes, der returneres af URI Gjort reaktion med værdier fra den signerede pakke manifest. Men siden man-in-the-middle-angriberen styrer den rapporterede hashes, de kan knytte dem til at lave en malware-pakken til at se legitime ud.
Som Ubuntu apt sikkerhed budskabet, “apt, startende med version 0.8.15, afkoder mål-url’ er af omdirigeringer, men ikke kontrollere dem for newlines, så MiTM angribere (eller repository spejle) at indsprøjte vilkårlige overskrifter i resultatet tilbage til den vigtigste proces. Hvis URL ‘ en integrerer hashes af den formodede fil, kan det således bruges til at deaktivere en validering af den hentede fil, som den falske hashes vil blive indsat på forsiden af højre hashes.”
Justicz viste, at han kunne få en skadelig .deb ind i et system ved hjælp af Udgivelsen.gpg-fil. Denne fil er altid trukket i løbet af apt-opdatering, og er som regel installeret i en forudsigelig placering.
Justicz vist, at dette kan være så indlysende, som:
<oops.deb indhold>
—–BEGIN PGP SIGNATURE—–
…
—–END PGP-SIGNATUR—–
Og hvad “ups” point til at få installeret.
Han påpegede også, at “Som standard i Debian og Ubuntu både bruge almindelig http-arkiver ud af boksen.” Mens der er ophedet debat om, hvorvidt den mere sikker https-faktisk bedre apt sikkerhed, Justicz kender sin position: “jeg ville ikke have været i stand til at udnytte Dockerfile i toppen af dette indlæg, hvis standard pakken servere, der havde været ved hjælp af https.”
Så hvor slemt er det egentlig? Dårlig.
Yves-Alexis Perez, et medlem af Debians sikkerhedshold, skrev: “Denne sårbarhed kunne udnyttes af en angriber, der ligger som et man-in-the-middle mellem APT og et spejl til at injicerer skadeligt indhold i HTTP-forbindelse. Dette indhold kan derefter blive anerkendt som et gyldigt pakke af APT og bruges senere til afvikling af kode med root-rettigheder på målcomputeren.”
Skal læse
Civilisation VI Guld Ed. for Mac-og Linux til $27 CNET
Hvorfor skal du bruge apt-get purge TechRepublic
Som potentielt kan være skadelige, da denne fejl kunne være, patches er allerede til rådighed for både Debian og Ubuntu. Patches vil snart være tilgængelige for Mint og andre Debian/Ubuntu-baserede Linux-distributioner. Når du gør patch apt, Debian security team anbefaler, at du tager aktioner.
Deaktiver omdirigeringer for at undgå misbrug, med følgende kommando som root:
apt -o Acquire::http::AllowRedirect=falsk opdatering
apt -o Acquire::http::AllowRedirect=false opgradering
Den dårlige nyhed er: “Dette er kendt for at bryde nogle fuldmagter, når det bruges mod security.debian.org. Hvis det sker, at folk kan skifte deres sikkerhed APT-kilde man bruger: deb http://cdn-fastly.deb.debian.org/debian-security stabil/updates main.”
Så, så længe du flytte straks at opdatere dine systemer, denne nye sikkerhedshul bør ikke være et problem. At sagde, du ikke ønsker at vente for længe. Det vil blive udnyttet i naturen. Det er kun et spørgsmål om tid.
Relaterede Historier:
Nye Linux Systemd sikkerhedshuller afsløret
Nyt sikkerhedshul virkninger de fleste Linux-og BSD-distributioner
De fleste hjemme-routere ikke drage fordel af Linux ‘ s forbedrede sikkerhedsfunktioner
Relaterede Emner:
Linux
Sikkerhed-TV
Data Management
CXO
Datacentre