zhanliming 2019-01-24
Debian项目和Canonical已经为其所有支持的发行版发布了修补的APT包,以解决可能允许远程攻击者执行中间人攻击的严重安全漏洞。
Max Justicz在APT软件包中发现了安全漏洞,Debian GNU/Linux和Ubuntu操作系统使用的高级软件包管理器,以及任何其他衍生品,官方或非官方软件,如Kubuntu,Lubuntu,Xubuntu, Ubuntu MATE,甚至是流行的Linux Mint。
该问题可能允许远程攻击者欺骗APT安装构成有效软件包的恶意软件包,但可以在安装后使用管理(root)权限执行代码,以获得对易受攻击机器的控制。有关详细信息,请参阅CVE-2019-3462。
“在HTTP传输方法中处理HTTP重定向的代码无法正确清理通过网络传输的字段。这个漏洞可能被作为APT和镜像之间的中间人的攻击者用来注入恶意内容。 HTTP连接,“阅读Debian安全公告。
敦促所有Debian和Ubuntu用户立即更新APT
所有Debian和Ubuntu用户以及使用APT包管理器的任何衍生产品的用户都被要求尽快更新他们的安装到他们的GNU/Linux发行版的主要软件存储库中已有的新APT版本。
Canonical已经发布了针对Ubuntu 18.10 (Cosmic Cuttlefish), Ubuntu 18.04 LTS (Bionic Beaver), Ubuntu 16.04 LTS (Xenial Xerus), Ubuntu 14.04 LTS (Trusty Tahr)和 Ubuntu 12.04 ESM (Precise Pangolin)的APT补丁版本。另一方面,Debian项目为Debian GNU/Linux 9 “Stretch”系列发布了修补的APT包。
标准系统更新将解决此问题,但Debian项目建议您在APT中禁用重定向,以防止使用以下命令利用更新过程。如果在没有重定向的情况下无法更新APT,则可以从安全通报中手动下载已修补的APT版本。
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade