Argitalpen data: 2019/01/24
Garrantzia: Handia
Kaltetutako baliabideak:
- APT pakete kudeatzailea, 1.4.9 baino
lehenagoko bertsioak
Azalpena:
Max Justicz segurtasun
ikertzaileak aurkitu duen ahultasun batek kodearen urruneko exekuzioa
ahalbidetzen du APT pakete kudeatzailearen apt-get
utilitatean, Debian-en oinarritutako banaketek erabilia.
Konponbidea:
- Eraso mota hau saihets liteke APTren
aldetik HTTPS errepositorioak erabilita, eta horretarako beharrezkoa da apt-transport-https paketea
instalatzea.
- Ahalik eta lasterren APTren 1.4.9
bertsiora eguneratzea.
Ekintza horiek egitean ahultasuna
baliatua izan dadin saihestearren, paketea modu lehenetsian birbideratzen bada,
beharrezkoa izango da erreplika ezberdinak aukeratzea edo paketea zuzenean deskargatzea. Debian eta Ubunturako ondoko argibideek
azaltzen dute nola egin behar den.
Xehetasuna:
- APTren HTTP birbideratzeek Linux
makinei laguntzen diete automatikoki aurkitzen zerbitzari ispilu egokia
software paketeak deskargatzeko, beste zerbitzari batzuk eskuragarri ez
daudenean. Horrela, lehen zerbitzariak nolabait huts egiten badu, bezeroak
paketea eskatu behar duen hurrengo zerbitzariaren kokapenarekin erantzuten
dute. Hori baliatuz, erasotzaile batek MitM
(Man in the Middle) agertoki
batean asmo gaiztoko kodea injekta lezake APTk deskargatutako paketeetan
eta horrela sistema engaina lezake aldatutako paketeak instala ditzan. Ahultasun horretarako CVE-2019-3462
identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Linux,
Ubuntu, Ahultasuna