Een beveiligingslek in de package manager apt maakte het mogelijk voor aanvallers om in bepaalde gevallen op afstand code met rootrechten uit te voeren. De aanval was mogelijk in het geval een aanvaller een man-in-the-middle-positie had of er met een kwaadaardige package mirror verbinding werd gemaakt.
Dat laat beveiligingsonderzoeker Max Justicz weten die de kwetsbaarheid ontdekte. Het door Debian ontwikkelde apt speelt een belangrijke rol bij het up-to-date houden van sommige besturingssystemen. Het zoeken naar beschikbare updates en packages door apt loopt vaak standaard via het onversleutelde http. Een aanvaller op hetzelfde netwerk kan zodoende het verkeer van de gebruiker onderscheppen. De onderzoeker ontdekte dat de aanvaller een antwoord op een specifiek apt-verzoek kan geven waarbij er een kwaadaardig bestand wordt aangeboden.
Apt controleert wel de checksum van een package, maar met deze aanval kan de aanvaller doorgeven dat de checksum van het kwaadaardige bestand de juiste is. De kwetsbaarheid met CVE-nummer 2019-3462 is in de laatste versie van apt gepatcht. Gebruikers die bang zijn dat ze tijdens het updateproces worden aangevallen kunnen zich beschermen door http-redirects tijdens de update uit te schakelen. Verder stelt Justicz dat het beter zou zijn om repositories standaard via https aan te bieden en gebruikers zelf de keuze te bieden om naar http te downgraden.
Deze posting is gelocked. Reageren is niet meer mogelijk.