უსაფრთხოების საზიზღარი ხარვეზი ნაპოვნია და დაფიქსირდა Linux apt-ში

  • Oct 18, 2023

Linux-ის პროგრამული უზრუნველყოფის ინსტალაციის ერთ-ერთ ძირითად პროგრამას, apt, ახლახან აღმოჩნდა, რომ აქვს უსაფრთხოების სერიოზული ხვრელი. ახლა შეფუთულია.

უსაფრთხოება

  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ

თუ გსურთ დააინსტალიროთ პროგრამა Debian/უბუნტუ/ზარაფხანა Linux-ის განაწილების ოჯახი, თქვენ თითქმის ყოველთვის იყენებთ პროგრამული უზრუნველყოფის ინსტალერის ძირითად პროგრამას Advanced Package Tool (apt). ის კარგად მუშაობს, მაგრამ უსაფრთხოების მკვლევარმა მაქს ჯასტიჩმა ახლახან იპოვა ა კაცი შუაგულში თავდასხმა აპ.

ამ ჭრილობაზე მარილის დამატებისას, ჯასტიცმა აღმოაჩინა, რომ ხვრელი დისტანციურ თავდამსხმელს საშუალებას მისცემს შეასრულოს თვითნებური კოდი, როგორც root ნებისმიერ სისტემაზე, რომელიც აყენებს ნებისმიერ პაკეტს. იმის გასაგებად, თუ როგორ უტევს ის, უნდა გესმოდეთ, როგორ მუშაობს apt.

Apt არის წინა ბოლო

dpkg შეფუთვის სისტემა. შეფუთვის სისტემა, თავის მხრივ, არის „პაკეტების“ მონაცემთა ბაზა, რომლებიც ფაილები უნდა დაინსტალირდეს ისეთი პროგრამისთვის, როგორიცაა Firefox, გასაშვებად. Apt-ით შეგიძლიათ იპოვოთ და დააინსტალიროთ ახალი პროგრამები, განაახლოთ პროგრამები, წაშალოთ პროგრამები და განაახლოთ თქვენი ადგილობრივი dbkg მონაცემთა ბაზა.

ჯერჯერობით კარგია. მაგრამ, როდესაც apt აინსტალირებს ახალ პროგრამას ან განაახლებს არსებულს, ის არ ამოწმებს, არის თუ არა რაიმე არასწორი პაკეტის მოთხოვნილ Uniform Resource Identifier-ში (URI). ამის ნაცვლად, ის უბრალოდ ადარებს PGP უსაფრთხოების ჰეშები დაბრუნებული URI დასრულებული პასუხით ხელმოწერილი პაკეტის მანიფესტის მნიშვნელობებით. მაგრამ, რადგან კაცი შუაში თავდამსხმელი აკონტროლებს მოხსენებულ ჰეშებს, მათ შეუძლიათ გააყალბონ ისინი, რათა მავნე პროგრამის პაკეტი ლეგიტიმურად გამოიყურებოდეს.

როგორც Ubuntu apt უსაფრთხოების შეტყობინება განაცხადა, რომ "apt, დაწყებული ვერსიით 0.8.15, დეკოდირებს გადამისამართებების სამიზნე URL-ებს, მაგრამ არ ამოწმებს მათ ახალ ხაზებზე, საშუალებას მისცემს MiTM თავდამსხმელებს (ან საცავის სარკეებს) შეიყვანონ თვითნებური სათაურები მთავარში დაბრუნებულ შედეგში პროცესი. თუ URL-ში ჩაშენებულია სავარაუდო ფაილის ჰეშები, ის შეიძლება გამოყენებულ იქნას გადმოწერილი ფაილის ნებისმიერი ვალიდაციის გასაუქმებლად, რადგან ყალბი ჰეშები იქნება დამაგრებული სწორი ჰეშების წინ."

ჯასტიჩმა აჩვენა, რომ მას შეეძლო მავნე .deb-ის შეყვანა სამიზნე სისტემაში Release.gpg ფაილის გამოყენებით. ეს ფაილი ყოველთვის ამოღებულია apt განახლების დროს და ჩვეულებრივ დაინსტალირებულია პროგნოზირებად ადგილას.

ჯასტიცმა აჩვენა, რომ ეს შეიძლება იყოს ისეთივე აშკარა, როგორც:


დაიწყეთ PGP ხელმოწერა
...
END PGP SIGNATURE

და რაც არ უნდა მიუთითებდეს "ოპსი" დაინსტალირდება.

მან ასევე აღნიშნა, რომ „ნაგულისხმევად, Debian და Ubuntu ორივე იყენებს უბრალო http საცავებს ყუთიდან“. სანამ არსებობს მწვავე დებატები იმის თაობაზე, რომ უფრო უსაფრთხო https-მა რეალურად გააუმჯობესა უსაფრთხოებაჯასტიცმა იცის თავისი პოზიცია: "მე ვერ შევძლებდი ამ პოსტის ზედა ნაწილში მდებარე Dockerfile-ის ექსპლუატაციას, ნაგულისხმევი პაკეტის სერვერები რომ იყენებდნენ https-ს."

მაშ, რამდენად ცუდია ეს ნამდვილად? Ცუდი.

ივ-ალექსის პერესი, Debian-ის უსაფრთხოების გუნდის წევრი, წერდა: „ეს დაუცველობა შეიძლება გამოიყენოს თავდამსხმელმა, რომელიც მდებარეობს როგორც კაცი შუაში APT-სა და სარკეს შორის მავნე კონტენტის შეყვანისთვის HTTP კავშირში. შემდეგ ეს კონტენტი შეიძლება აღიარებული იყოს როგორც მოქმედი პაკეტი APT-ის მიერ და მოგვიანებით გამოყენებული იქნას კოდის შესასრულებლად root პრივილეგიებით სამიზნე მანქანაზე.

Უნდა წაიკითხო

  • ცივილიზაცია VI ოქროს რედ. Mac-ისთვის და Linux-ისთვის 27 დოლარად CNET
  • რატომ უნდა გამოიყენოთ apt-get purge TechRepublic

რამდენადაც პოტენციურად საზიანო შეიძლება იყოს ეს შეცდომა, პატჩები უკვე ხელმისაწვდომია ორივესთვის Debian და უბუნტუ. პატჩები მალე ხელმისაწვდომი იქნება Mint-ისთვის და სხვა Debian/Ubuntu-ზე დაფუძნებული Linux დისტროსთვის. როდესაც თქვენ აკეთებთ patch apt-ს, Debian-ის უსაფრთხოების გუნდი გირჩევთ პირველ რიგში განახორციელოთ შემდეგი ქმედებები: გამორთეთ გადამისამართებები ექსპლუატაციის თავიდან ასაცილებლად, შემდეგი ბრძანებების გამოყენებით, როგორც root:

apt -o Acquire:: http:: AllowRedirect=false განახლება
apt -o Acquire:: http:: AllowRedirect=false განახლება

ცუდი ამბავია: „ეს ცნობილია, რომ არღვევს ზოგიერთ პროქსის უსაფრთხოების.debian.org-ის წინააღმდეგ გამოყენებისას. თუ ეს მოხდება, ადამიანებს შეუძლიათ შეცვალონ უსაფრთხოების APT წყარო, რათა გამოიყენონ: deb http://cdn-fastly.deb.debian.org/debian-security სტაბილური / განახლებულია მთავარი."

ასე რომ, სანამ დროულად გადახვალთ თქვენი სისტემების განახლებისთვის, უსაფრთხოების ეს ახალი ხვრელი არ უნდა იყოს პრობლემა. ამის თქმით, თქვენ არ გსურთ დიდი ხნის ლოდინი. მისი ექსპლუატაცია ველურ ბუნებაში მოხდება. ეს მხოლოდ დროის საკითხია.

ეს არის 2018 წლის ყველაზე საშინელი ჰაკები, კიბერშეტევები და მონაცემების დარღვევა

დაკავშირებული ისტორიები:

  • აღმოჩენილია ახალი Linux Systemd უსაფრთხოების ხვრელები
  • უსაფრთხოების ახალი ხარვეზი გავლენას ახდენს Linux და BSD დისტრიბუციებზე
  • სახლის მარშრუტიზატორების უმეტესობა არ სარგებლობს Linux-ის გაუმჯობესებული უსაფრთხოების ფუნქციებით