Запушиха критична уязвимост в APT

5
770

Версия 1.4.9 се справя с проблема.

Екипите грижещи се за сигурността на големите Линукс дистрибуции на основата на Debian и други, издадоха нова версия на пакетния мениджър APT. Тя адресира наскоро открита критична уязвимост, която може да бъде експлоатирана по дистанционен път.

CVE-2019-3462 е разкрита от независимия разработчик Макс Юстич и се крие в начина, по който инструментът санитизира определени параметри при HTTP пренасочвания, което позволява на външна страна да инжектира зловредно съдържание и да подлъже системата да бъдат инсталирани модифицирани пакети. APT HTTP пренасочванията помагат на Линкс машините да намерят най-подходящото „огледало“, за да бъдат свалени търсените софтуерни пакети в случаи, в които другите са недостъпни. Ако заявката към първия сървър отговори с грешка, бива връщан отговор с местоположението на следващия сървър, откъдето клиентът може да свали нужния пакет.

Така, както обясняват и от Hacker News, атакуващата страна, може да пресече HTTP трафика между APT клиента и огледалния сървър, може да инсталира зловредни пакети в мрежовия трафик и да изпълни случаен код към системата с най-високи привилегии.

5
ДОБАВИ КОМЕНТАР

avatar
2 Коментари
3 Отговори на коментарите
5 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
5 Автори на коментарите
КалинпиратlainuxСлавиcaball Автори на последните коментари
  Абонирай се  
нови стари оценка
Извести ме за
caball
caball

така като гледам засяга само некриптираният трафик. Ако се ползва HTTPS протокола ще пренасочи точно никога.

Слави
Слави

Много ги разбираш тези неща мами.

lainux
lainux

Нали уж е много сигурен Линукс, а какво излезе – години наред са били със свалени гащи.

пират
пират

Най-много да доразвият пробойната в по-новата версия и да направят „клиента“ още по- юзър френдли.

Калин
Калин

Линукс и юзер френдли 😂😅
Този беше добър