Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kodearen urruneko exekuzioa APT pakete kudeatzailean

Argitalpen data: 2019/01/24

Garrantzia: Handia

Kaltetutako baliabideak:

  • APT pakete kudeatzailea, 1.4.9 baino lehenagoko bertsioak

Azalpena:

Max Justicz segurtasun ikertzaileak aurkitu duen ahultasun batek kodearen urruneko exekuzioa ahalbidetzen du APT pakete kudeatzailearen apt-get utilitatean, Debian-en oinarritutako banaketek erabilia.

Konponbidea:

  • Eraso mota hau saihets liteke APTren aldetik HTTPS errepositorioak erabilita, eta horretarako beharrezkoa da apt-transport-https paketea instalatzea.
  • Ahalik eta lasterren APTren 1.4.9 bertsiora eguneratzea.

Ekintza horiek egitean ahultasuna baliatua izan dadin saihestearren, paketea modu lehenetsian birbideratzen bada, beharrezkoa izango da erreplika ezberdinak aukeratzea edo paketea zuzenean deskargatzea. Debian eta Ubunturako ondoko argibideek azaltzen dute nola egin behar den.

Xehetasuna:

  • APTren HTTP birbideratzeek Linux makinei laguntzen diete automatikoki aurkitzen zerbitzari ispilu egokia software paketeak deskargatzeko, beste zerbitzari batzuk eskuragarri ez daudenean. Horrela, lehen zerbitzariak nolabait huts egiten badu, bezeroak paketea eskatu behar duen hurrengo zerbitzariaren kokapenarekin erantzuten dute. Hori baliatuz, erasotzaile batek MitM (Man in the Middle) agertoki batean asmo gaiztoko kodea injekta lezake APTk deskargatutako paketeetan eta horrela sistema engaina lezake aldatutako paketeak instala ditzan. Ahultasun horretarako CVE-2019-3462 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Linux, Ubuntu, Ahultasuna