Om du vill installera ett program på Debian/Ubuntu/Mint Linux-distribution familj, du slutar nästan alltid med hjälp av core software installer-programmet Advanced Package Tool (apt). Det fungerar bra, men säkerhetsforskare Max Justicz hittade nyligen en otäck sätt att göra en man-i-mitten-attack på apt.
Att lägga salt i detta sår, Justicz hittade hålet skulle göra det möjligt för en angripare utifrån att exekvera godtycklig kod som root på alla system att installera alla paket. För att förstå hur it-attacker, måste du förstå hur apt fungerar.
Apt är ett front-end till dpkg paketsystem. En förpackning system, i sin tur, är en databas av “paket” – filer måste installeras för ett program, till exempel Firefox, för att köra. Med apt, kan du hitta och installera nya program, uppgradera program, ta bort program och uppdatera din lokala dbkg databas.
Så långt, så bra. Men, när apt installerar ett nytt program eller uppdatera en befintlig, det spelar inte in för att se om något är fel med ett paket som är angivet för Uniform Resource Identifier (URI). I stället är det bara jämför PGP säkerhet hash-värden som returneras av URI Gjort svar med värden från det signerade paketet manifestet. Men eftersom mannen-i-mitten-anfallaren styr rapporterade hashes, de kan knyta dem till att göra ett malware paketet ser legitima.
Som Ubuntu apt-säkerhet-meddelandet anges att “apt, från och med version 0.8.15, avkodar mål-Url-omdirigeringar, men inte in dem för radmatning, så MiTM-angripare (eller arkiv-speglar) att injicera godtyckliga rubriker i resultatet tillbaka till huvudprocessen. Om WEBBADRESSEN innehåller hash av den förmodade fil, den kan således användas för att inaktivera en validering av den nedladdade filen, som falska hashar kommer att vara som läggs i framsidan av höger-hashar.”
Justicz visade att han kunde få en skadlig .deb in en target-systemet med hjälp av Utgivningen.gpg-fil. Den här filen är alltid dras under apt uppdateringen och är oftast installeras i en förutsägbar läge.
Justicz visat att detta kan vara lika självklara som:
<oops.deb innehåll>
—–BEGIN PGP SIGNATURE—–
…
—–END PGP-SIGNATUR—–
Och vad “oops” – poäng för att få installerat.
Han påpekade också att “Som standard, Debian och Ubuntu både använda oformaterad http förråd out of the box.” Medan det finns en hetsig debatt om huruvida mer säker https faktiskt bättre apt säkerhet, Justicz vet sin ståndpunkt: “jag skulle inte ha kunnat utnyttja den Dockerfile på toppen av detta inlägg om standard-paketet servrar varit med https.”
Så, hur illa är det egentligen? Dåligt.
Yves-Alexis Perez, en medlem av Debians säkerhetsgrupp, skrev: “Denna sårbarhet kan utnyttjas av en angripare som ligger som en man-i-mitten-mellan APT och en spegel för att injicera skadliga innehåll i HTTP-anslutning. Detta innehåll kan sedan betraktas som en giltig paket med APT och används senare för kod med root-privilegier på måldatorn.”
Måste läsa
Civilisation VI Guld Ed. för Mac och Linux för $27 CNET
Varför du bör använda apt-get purge TechRepublic
Som potentiellt skadligt som att det här felet kan vara, fläckar är redan tillgänglig för både Debian och Ubuntu. Fläckar kommer snart att vara tillgängliga för Mint och andra Debian/Ubuntu-baserade Linux-distributioner. När du gör patch apt, Debian-security team rekommenderar att du vidtar åtgärder.
Inaktivera omdirigeringar för att förhindra exploatering, med följande kommando som root:
apt -o Acquire::http::AllowRedirect=false uppdatering
apt -o Acquire::http::AllowRedirect=false uppgradera
De dåliga nyheterna är: “Detta är känt för att bryta vissa proxyservrar när de används mot security.debian.org. Om det händer, kan man växla sina säkerhet APT-källa att använda: deb http://cdn-fastly.deb.debian.org/debian-security stabil/updates main.”
Så, så länge du flytta snabbt för att uppdatera ditt system, denna nya säkerhetshål bör inte vara ett problem. Som sagt, vill du inte vänta alltför länge. Det kommer att få utnyttjas i det vilda. Det är bara en fråga om tid.
Relaterade Artiklar:
Nya Linux-Systemd säkerhetshål upptäckt
Ny säkerhetsbrist påverkan de flesta Linux-och BSD-distributioner
De flesta hem routrar inte dra nytta av Linux förbättrade funktioner säkerhet
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter