
Bezpečnostní výzkumník Max Justicz dnes publikoval detaily zranitelnosti správce balíčků APT. Ten je používán v Debianu, Ubuntu a v dalších odvozených distribucích. Zranitelnost spočívá v nedostatečně ošetřeném vstupu ze sítě při zpracování HTTP přesměrování během stahování balíčků. Zranitelnost dostala označení CVE-2019-3462
a vysokou míru naléhavosti.
V tuto chvíli jsou již k dispozici opravené verze pro Debian i Ubuntu. Pokud se bojíte zneužití zranitelnosti během aktualizace, je možné na staré verzi vypnout podporu HTTP přesměrování, čímž se zranitelnost zablokuje za cenu nepodpory některých zrcadel, která přesměrování používají:
$ sudo apt update -o Acquire::http::AllowRedirect=false $ sudo apt upgrade -o Acquire::http::AllowRedirect=false
Max Justicz ve své analýze také nabádá správce distribucí, aby jako výchozí protokol pro přenos balíčků použili HTTPS. Sice to není nezbytné z hlediska integrity balíčků, zabránilo by to ale zneužití takovéto zranitelnosti útočníkem na cestě; samotná zrcadla by samozřejmě zranitelnost mohla zneužít úplně stejně.