独立安全顾问Max Justicz在几个Linux发行版(包括Debian和Ubuntu)使用的APT包管理器中发现了一个远程执行代码漏洞。
这个漏洞被跟踪为CVE-2019-3462,影响软件包管理器0.8.15版本及更高版本,它可能被MiTM位置的攻击者利用,在机器上以root身份执行任意代码并安装任何软件包。
“我在apt中发现了一个漏洞,允许网络中间人(或恶意包镜像)在安装任何软件包的机器上以root身份执行任意代码。” Justicz 发布的博客文章中 写道。
“该错误已在最新版本的apt中修复。如果你担心在更新过程中被利用,你可以通过在更新时禁用HTTP重定向来保护自己。“
在HTTP重定向期间,APT的易受攻击版本无法清理某些参数,而远程中间人攻击者可能会注入恶意内容并欺骗系统安装受污染的软件包。
使用apt-get命令时,HTTP重定向允许Linux系统在其他人不可用时自动从镜像服务器请求包。当第一台服务器无法提供包时,它通过提供下一个合适的服务器进行响应。
“在HTTP传输方法中处理HTTP重定向的代码无法正确清理通过线路传输的字段。作为APT和镜像之间的中间人的攻击者可以使用此漏洞,在HTTP连接中注入恶意内容。Debian安全通报 说:“这个内容可以被APT识别为一个有效的包,然后在目标机器上使用root权限执行代码。”
专家发表了一段视频PoC,演示攻击者拦截APT程序包管理器与镜像服务器(或恶意镜像)之间的HTTP流量,并用恶意程序替换合法程序包。
https://justi.cz/assets/aptpoc.mp4
根据 Justicz,该漏洞可能会影响所有软件包下载,包括用户首次安装的软件包。
为了缓解此缺陷,可以实施HTTPS来防止利用这个漏洞。
“支持 HTTP很好,但是我认为应该将https存储库设置为默认值——更安全的默认值——并允许用户在以后降级他们的安全性。如果默认的包服务器使用https,我就无法利用这篇文章顶部的Dockerfile。“专家写道。
APT维护人员通过1.4.9版本快速修补了CVE-2019-3462漏洞,Linux用户必须尽快更新他们的系统。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/80188/hacking/linux-apt-package-manage-flaw.html