„Linux apt“ rasta ir ištaisyta bjauri saugos klaida

  • Oct 18, 2023

Neseniai buvo nustatyta, kad vienoje iš pagrindinių Linux programinės įrangos diegimo programų, apt, yra rimta saugumo spraga. Dabar užtaisyta.

Saugumas

  • 8 labai saugių nuotolinių darbuotojų įpročiai
  • Kaip rasti ir pašalinti šnipinėjimo programas iš savo telefono
  • Geriausios VPN paslaugos: kaip palyginti 5 geriausius?
  • Kaip sužinoti, ar esate susijęs su duomenų pažeidimu – ir ką daryti toliau

Jei norite įdiegti programą Debian/Ubuntu/Mėtų „Linux“ platinimo šeima, beveik visada naudojate pagrindinę programinės įrangos diegimo programą Išplėstinis paketų įrankis (tinkamas). Tai veikia gerai, tačiau saugumo tyrinėtojas Maxas Justiczas neseniai surado bjaurų būdą, kaip padaryti a žmogaus viduryje ataka prieš apt.

Pridėjęs druskos prie šios žaizdos, Justicz nustatė, kad skylė leistų nuotoliniam užpuolikui vykdyti savavališką kodą kaip root bet kurioje sistemoje, diegiančioje bet kurį paketą. Norėdami suprasti, kaip jis puola, turite suprasti, kaip veikia apt.

Apt yra priekinė dalis dpkg pakavimo sistema

. Pakavimo sistema, savo ruožtu, yra „paketų“, kuriuos reikia įdiegti, kad programa, pvz., Firefox, veiktų, duomenų bazė. Naudodami apt galite rasti ir įdiegti naujas programas, atnaujinti programas, pašalinti programas ir atnaujinti vietinę dbkg duomenų bazę.

Kol kas viskas gerai. Tačiau kai apt įdiegia naują programą arba atnaujina esamą, ji netikrina, ar kas nors negerai su paketo prašomu vienodu išteklių identifikatoriumi (URI). Vietoj to, jis tiesiog lygina PGP saugos maišos grąžino atsakymas URI Done su reikšmėmis iš pasirašyto paketo aprašo. Tačiau kadangi tarpininkas užpuolikas valdo praneštas maišas, jis gali jas suklastoti, kad kenkėjiškų programų paketas atrodytų teisėtas.

Kaip ir Ubuntu apt saugos pranešimas teigiama: „apt, pradedant nuo 0.8.15 versijos, dekoduoja tikslinius peradresavimų URL, bet netikrina, ar juose nėra naujų eilučių, leidžiant MiTM užpuolikams (arba saugyklos veidrodžiams) įterpti savavališkas antraštes į rezultatą, grąžintą į pagrindinį procesas. Jei URL įterpiamos tariamo failo maišos, jis gali būti naudojamas norint išjungti bet kokį atsisiųsto failo patvirtinimą, nes netikros maišos bus pridėtos prieš dešinę maišą.

Justiczas parodė, kad naudodamas Release.gpg failą gali įvesti kenkėjišką .deb į tikslinę sistemą. Šis failas visada ištraukiamas apt atnaujinimo metu ir paprastai įdiegiamas nuspėjamoje vietoje.

Justicz parodė, kad tai gali būti taip akivaizdu:


PRADĖKITE PGP PARAŠĄ
...
PABAIGA PGP PARAŠAS

Ir viskas, į ką „oops“, bus įdiegta.

Jis taip pat pažymėjo, kad „Pagal numatytuosius nustatymus Debian ir Ubuntu naudoja paprastas http saugyklas. Kol yra karštos diskusijos dėl to, ar saugesnis https iš tikrųjų pagerino tinkamą saugumą, Justicz žino savo poziciją: "Aš nebūčiau galėjęs išnaudoti šio įrašo viršuje esančio Dockerfile, jei numatytieji paketų serveriai būtų naudoję https."

Taigi, ar tai iš tikrųjų blogai? Blogai.

Yves-Alexis Perez, „Debian“ saugos komandos narys, rašė: „Šią pažeidžiamumą gali panaudoti užpuolikas, esantis kaip žmogus tarp APT ir veidrodžio, kad būtų galima įterpti kenkėjišką turinį HTTP jungtyje. Tada APT gali atpažinti šį turinį kaip galiojantį paketą ir vėliau panaudoti kodui vykdyti su root teisėmis tiksliniame kompiuteryje.

Privaloma perskaityti

  • Civilizacija VI Auksinis leid. „Mac“ ir „Linux“ už 27 USD CNET
  • Kodėl turėtumėte naudoti apt-get purge TechRepublic

Kad ir kaip ši klaida būtų žalinga, pataisos jau yra abiem Debian ir Ubuntu. Netrukus pataisymai bus prieinami „Mint“ ir kitoms „Debian“ / „Ubuntu“ pagrindu veikiančioms „Linux“ sistemoms. Kai atliekate patch apt, Debian'o saugos komanda rekomenduoja pirmiausia atlikti šiuos veiksmus: Išjungti peradresavimus, kad būtų išvengta išnaudojimo, naudojant šias komandas kaip root:

apt -o Įsigyti:: http:: AllowRedirect=false naujinimas
apt -o Įsigyti:: http:: AllowRedirect=false atnaujinimas

Blogos naujienos yra šios: „Žinoma, kad tai pažeidžia kai kuriuos tarpinius serverius, kai naudojamas prieš security.debian.org. Jei taip atsitiks, žmonės gali pakeisti savo saugos APT šaltinį: deb http://cdn-fastly.deb.debian.org/debian-security stabilus / pagrindinis atnaujinimų.

Taigi, jei greitai atnaujinsite savo sistemas, ši nauja saugumo spraga neturėtų kelti problemų. Sakė, nenorite laukti per ilgai. Jis bus išnaudojamas laukinėje gamtoje. Tai tik laiko klausimas.

Tai yra blogiausi įsilaužimai, kibernetinės atakos ir duomenų pažeidimai 2018 m.

Susijusios istorijos:

  • Atskleistos naujos „Linux Systemd“ saugos spragos
  • Naujas saugos trūkumas turi įtakos daugumai „Linux“ ir BSD platinimų
  • Dauguma namų maršrutizatorių nepasinaudoja patobulintomis „Linux“ saugos funkcijomis