Pode permitir que atacantes remotos instalem pacotes maliciosos
O Projeto Debian e a Canonical lançaram pacotes APT com patches para todas as suas distribuições suportadas para lidar com uma vulnerabilidade de segurança crítica que poderia permitir que atacantes remotos realizassem um ataque man-in-the-middle.
A vulnerabilidade de segurança foi descoberta por Max Justicz no pacote APT, o gerenciador de pacotes de alto nível usado pelos sistemas operacionais Debian GNU / Linux e Ubuntu , assim como qualquer outro derivado, oficial ou não oficial, como o Kubuntu , Lubuntu , Xubuntu , Ubuntu MATE e até mesmo o popular Linux Mint .
O problema pode permitir que um invasor remoto engane o APT para instalar pacotes maliciosos que sejam válidos, mas que poderiam ser usados para execução de código com privilégios administrativos (raiz) após a instalação para obter o controle da máquina vulnerável. Mais detalhes estão disponíveis para leitura adicional no CVE-2019-3462 .
"O código que manipula redirecionamentos HTTP no método de transporte HTTP não limpa adequadamente os campos transmitidos pela rede. Essa vulnerabilidade pode ser usada por um invasor localizado como um intermediário entre o APT e um espelho para injetar conteúdo malicioso em a conexão HTTP ", lê o aviso de segurança do Debian .
Todos os usuários Debian e Ubuntu são convidados a atualizar o APT imediatamente
Todos os usuários Debian e Ubuntu, assim como os usuários de quaisquer derivativos usando o gerenciador de pacotes APT, devem atualizar suas instalações o mais rápido possível para as novas versões do APT que já estão disponíveis nos principais repositórios de software de suas distribuições GNU / Linux.
A Canonical lançou versões corrigidas do APT para o Ubuntu 18.10 (Cosmic Cuttlefish), o Ubuntu 18.04 LTS (Bionic Beaver), o Ubuntu 16.04 LTS (Xenial Xerus), o Ubuntu 14.04 LTS (Trusty Tahr) e o Ubuntu 12.04 ESM (Precise Pangolin). Por outro lado, o Projeto Debian lançou pacotes APT com patches para a série "Stretch" do Debian GNU / Linux 9.
Uma atualização padrão do sistema irá resolver o problema, mas o Projeto Debian recomenda que você desabilite redirecionamentos no APT para evitar a exploração do processo de atualização usando os comandos abaixo. Se você não puder atualizar o APT sem redirecionamentos, poderá baixar manualmente as versões do APT corrigidas no aviso de segurança.
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário