研究人員Max Justicz日前發現了知名Linux包管理器apt/apt-get中的遠程代碼執行漏洞,該漏洞允許外部進行中間人攻擊並獲取root權限以執行任何代碼。該漏洞已在最新版本apt修復,如果擔心在升級過程中遭到攻擊,可以使用以下代碼關閉HTTP重定向功能進行安全升級:
$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false
該漏洞代號爲CVE-2019-3462,其原因是apt中默認使用HTTP進行通信,而其transport方法中處理HTTP重定向的代碼未能正確審查傳輸的字段。攻擊者通過中間人攻擊劫持後,使用僞造簽名騙過該檢查,即可在用戶主機上安裝攻擊者安排的任意程序,並因爲apt已經獲取root權限,該惡意程序可在root權限下執行。詳細情況及演示可以閱讀Max Justicz的博文。
如今,HTTPS早已普及,甚至如谷歌、蘋果等平臺強制要求開發者使用HTTPS,但apt因爲其安裝包有簽名機制,在此前我們認爲安裝包是無法僞造的,因此並沒有默認啓用HTTPS,甚至專門有人建了一個網站來論證爲什麼apt不需要使用HTTPS。不過,Max指出,早在16年就有類似的漏洞爆出,雖然HTTPS也並不能解決惡意鏡像源的問題,但HTTP暴露的攻擊面要廣得多。
此漏洞影響範圍極爲廣泛,所有使用apt老版本的主機都暴露在攻擊之下,特別是將apt作爲默認包管理器的Ubuntu,從14.04 LTS到最新的18.10版本均受到影響。
兩個使用apt最多的Linux發行版Ubuntu和Debian已分別發佈安全公告(Ubuntu公告、Debian公告),督促用戶升級。