Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Mesačný prehľad za mesiac jún 2019
Tlačové správy
01.07.2019
Mesačná správa CSIRT.SK - Máj 2019
Tlačové správy
28.06.2019
Zraniteľnosti v aplikácii eID klient
Tlačové správy
25.06.2019
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Kritická zraniteľnosť v Linuxovom správcovi APT umožňuje vzdialené vykonávanie kódu

23.01.2019
Kritická chyba v Linuxovom správcovi balíčkov APT umožňuje pri presmerovávaní na zrkadlo útočníkovi vložiť do HTTP komunikácie upravený balíček, či škodlivý kód, ktorý správca APT vyhodnotí ako legitímny. Takto útočník dostáva možnosť vzdialene vykonávať ľubovoľný kód s právami root.

 

Dôsledky

  • Vzdialené vykonávanie kódu
  • Ovládnutie zraniteľného systému

Opis činnosti
CVE-2019-3462

Bezpečnostný výskumník Max Justicz odhalil kritickú zraniteľnosť v distribúciách operačného systému Linux z rodín Debian a Ubuntu, ktorá postihuje správcu softvérových balíčkov APT. Táto dovoľuje útočníkom vzdialene vykonávať kód s root právami.

Kód správcu APT zodpovedný za narábanie s HTTP presmerovaniami v HTTP transport metóde nevhodne sanitizuje premenné. Útočník tak môže na podvrhnutie upraveného balíčka využiť techniku man-in-the-middle medzi zraniteľným zariadením a zrkadlom, alebo vlastné škodlivé zrkadlo. APT bude tento balíček pokladať za legitímny. Preto je pri aktualizácii správcu APT vhodné zakázať presmerovanie (viď časť Odporúčania).

Zraniteľné systémy
Správca balíčkov APT, ktorý využívajú distribúcie Linuxu odvodené od Debian a Ubuntu, od verzie 0.8.15

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Aktualizácia správcu balíčkov APT aspoň na verziu

  • Debian: Stretch 1.4.9, Jessie 1.0.9.8.5
  • Ubuntu: 1.2.29ubuntu0.1, 1.7.0ubuntu0.1, 1.0.1ubuntu2.19, 1.6.6ubuntu0.1

Pri aktualizácii sa odporúča zakázať presmerovanie, aby nedošlo k zneužitiu zraniteľnosti. Na to je možné použiť tieto príkazy:

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

Ak by tieto nastavenia spôsobili chybu spojenia, vývojári distribúcie Debian odporúčajú nastaviť zdroj pre APT na:

deb http://cdn-fastly.deb.debian.org/debian-security stable/updates main

alebo inštaláciu stiahnuť manuálne pomocou nástrojov curl / wget.

Odkazy
https://justi.cz/security/2019/01/22/apt-rce.html
https://www.bleepingcomputer.com/news/security/remote-code-execution-bug-patched-in-apt-linux-package-manager/
https://www.root.cz/zpravicky/ve-spravci-balicku-apt-je-zranitelnost-umoznujici-spustit-libovolny-kod/
https://thehackernews.com/2019/01/linux-apt-http-hacking.html
https://securityaffairs.co/wordpress/80188/hacking/linux-apt-package-manage-flaw.html



<< zoznam oznámení