[ BLOG INICIO ]
El día de hoy se descubrió una vulnerabilidad que permite la instalación remota y control de paquetes esta falla se da en la verificación de paquetes en repositorios que utilizan solo HTTPS para comunicarse de forma segura sin utilizar la verificación de paquetes basados solo en firmas.
Esta vulnerabilidad, descubierta por Max Justicz, conocida como (CVE-219-3462) reside en el administrador de paquetes APT, ampliamente utilizada que maneja la instalación, actualización y eliminación de software en Debian, Ubuntu y otras distribuciones de Linux entre ellas nuestra amada deepin.
Según Justicz el cual escribio en su blog las versiones vulnerables de APT no satisfacen los parámetros de las credenciales mientras ocurre el redireccionamiento http, permitiendo un ataque de hombre en el medio para inyectar código malicioso y permitir la instalación de paquetes adicionales.
Aunque Justicz no ha probado, cree que la vulnerabilidad afecta a todas las descargas de paquetes, incluso si está instalando un paquete por primera vez o actualizando uno anterior.
La recomendación para los administradores de repositorios en linux es que para proteger la integridad de los paquetes, es importante utilizar la verificación basada en firmas, ya que los desarrolladores no tienen control sobre los servidores espejo, pero al mismo tiempo, implementar de HTTPS podría evitar la explotación activa después del descubrimiento de dichas vulnerabilidades.
La recomendación para todos los usuarios es que actualicen sus equipos ya que los administradores de Debian trabajaron rápidamente para corregirla.
Buena data, gracias G4SP3R