FALLA CRÍTICA APT/APT-GET

[HOME BLOG]

 

 

Hoje, uma vulnerabilidade que permite que pacotes de instalação e controle remoto esta falha ocorre nos repositórios de pacotes de verificação usando apenas HTTPS para se comunicar de forma segura sem utilizar a verificação de assinaturas com base apenas em pacotes foi descoberto.

Esta vulnerabilidade, descoberta por Max Justicz, conhecido como (CVE-219-3462) reside no gerenciador de pacotes APT, amplamente utilizado que lida com instalação, atualização e remoção de software no Debian, Ubuntu e outras distribuições Linux, incluindo o nosso amado Deepin.

De acordo Justicz que escreveu em seu blogue versões vulneráveis ​​do APT não atendem as credenciais parâmetros como ocorre redirecionamento http, permitindo homem ataque no meio para injetar código malicioso e permitirá instalar pacotes adicionais.

Embora Justicz não tentou, ele acredita que a vulnerabilidade afeta todos os downloads de pacotes, mesmo se você estiver instalando um pacote pela primeira vez ou atualizar uma versão anterior.

A recomendação para administradores de repositórios sobre Linux é que, para proteger a integridade dos pacotes, é importante o uso de verificação baseado em assinaturas, porque os desenvolvedores não têm controle sobre os servidores espelho, mas, ao mesmo tempo implementar HTTPS poderia evitar exploração activa após a descoberta de estas vulnerabilidades.

A recomendação é para todos os usuários para atualizar seus computadores como administradores de Debian trabalharam rapidamente para corrigi-lo.

1
O que você acha?

Por favor entrar para comentar
1 tópicos de comentários
0 fio de respostas
0 Seguidores
 
Comentar com mais reações
fio de Altamente Recomendável
1 Autores comentários
Car Os autores dos comentários mais recentes
subscrever
MAIS NOVO mais velho mais popular
relatório do
Car
editor

Bons dados, graças AvatarG4SP3R