警告！Linux APT包管理器中的严重缺陷：可能允许远程黑客入侵

独立安全顾问Max Justicz在几个Linux发行版（包括Debian和Ubuntu）使用的APT包管理器中发现了一个远程执行代码漏洞。

CVEID：CVE-2019-3462，影响软件包管理器版本0.8.15及更高版本，它可能被MITM位置的攻击者利用，以在目标上以root身份执行任意代码并安装任何软件包。

“我在apt中发现了一个漏洞，允许网络中间人（或恶意包镜像）在安装任何软件包的机器上以root身份执行任意代码。”Justicz 发布的博客文章中写道。

“该错误已在最新版本的apt中修复。如果您担心在更新过程中被利用，可以通过在更新时禁用HTTP重定向来保护自己。“

在HTTP重定向期间，APT的易受攻击版本无法清理某些参数，而远程中间人攻击者可能会注入恶意内容并欺骗系统安装受污染的软件包。

使用apt-get命令时，HTTP重定向允许Linux系统在其他人不可用时自动从镜像服务器请求包。当第一台服务器无法提供包时，它通过提供下一个合适的服务器进行相应。

“处理HTTP传输方法中HTTP重定向的代码无法正确清理通过线路传输的字段。攻击者可以使用此漏洞作为APT和镜像之间的中间人，在HTTP连接中注入恶意内容。“ Debian安全通报提到：”此内容可被识别为一个有效的包，然后在目标机器上使用root权限执行代码。“

还发表了一段视频PoC（视频链接https://justi.cz/assets/aptpoc.mp4），演示攻击者如何拦截APT程序包管理器与镜像服务器或恶意镜像之间的HTTP流量，并用恶意程序替换合法程序包。

根据Justicz，该漏洞可能会影响所有软件包下载，包括用户首次安装的软件包。

为了缓解此缺陷，可以实施可以防止利用漏洞的HTTPS。

“支持HTTP很好。我认为值得将https存储库设置为默认值 - 更安全的默认值 - 并允许用户在以后选择这样做时降级其安全性。如果默认包服务器使用https，我将无法利用这篇文章顶部的Dockerfile。“专家写道。

APT维护人员通过1.4.9版本快速修补了CVE-2019-3462漏洞，Linux用户必须尽快更新系统。

来源：securityaffairs，作者：Pierluigi Paganini，安全圈编译整理