OpenForum RSS: Уязвимость в пакетном менеджере APT, позволяющая подменить з... https://ns.opennet.dev/openforum/vsluhforumID3/116369.html В пакетном менеджере APT выявлена (https://justi.cz/security/2019/01/22/apt-rce.html) уязвимость (CVE-2019-3462 (https://security-tracker.debian.org/tracker/CVE-2019-3462)), позволяющая злоумышленнику инициировать подмену устанавливаемого пакета, если атакующий получил контроль за зеркалом репозитория или способен вклиниться в транзитный трафик между пользователем и репозиторием (MITM-атака).<br><br><br><br>Проблема вызвана некорректной проверкой полей в коде обработки HTTP-редиректов, что позволяет атакующему подставить собственное содержимое в данные, передаваемые в рамках HTTP-сеанса (по умолчанию Debian и Ubuntu используют при обращении к репозиторию HTTP, а не HTTPS, полагая (https://whydoesaptnotusehttps.com/), что достаточно цифровой подписи метаданных и проверки соответствия размера пакета). <br><br><br>Выявленная уязвимость позволяет подменить передаваемый пакет, после чего APT воспримет его как полученный с официального зеркала и инициирует процесс установки. Через включение во вредоносный пакет скриптов, запускаем Уязвимость в пакетном менеджере APT, позволяющая подменить з... (Гентушник) https://ns.opennet.dev/openforum/vsluhforumID3/116369.html#128 Tue, 24 Sep 2019 15:39:20 GMT &gt; Как развернуть такую точно такую же систему с такими же пакетами и <br>&gt; версиями?<br><br>Готового рецепта не знаю.<br>Список пакетов с версиями можно вывести через dpkg-query -W<br>С получением пакетов конкретных версий - сложнее, если дистрибутив свежий и все пакеты актуальные, то можно тупо через apt-get install name1=version1 name2=version2 ...<br><br>Если какие-то пакеты уже не свежие, то в теории они все хранятся на snapshot.debian.org<br>Можно попробовать взять примерную дату когда исходная система последний раз обновлялась и указать её в URL зеркала, типо так:<br>https://snapshot.debian.org/archive/debian/20091004T111800Z/<br>Потом установить пакеты через dpkg --get-selections (на исходной системе) и dpkg --set-selections (на эталонной системе)<br>Пакеты у которых версия не совпала с той что нужно - выкачать и поставить руками.<br><br>Если заморочиться, то у snapshot.debian.org есть API, можно написать скрипт для него и выкачать все нужные deb-файлы нужных версий и поставить их через dpkg -i<br> Уязвимость в пакетном менеджере APT, позволяющая подменить з... (Аноним) https://ns.opennet.dev/openforum/vsluhforumID3/116369.html#127 Tue, 24 Sep 2019 12:41:20 GMT Как развернуть такую точно такую же систему с такими же пакетами и версиями?<br> Уязвимость в пакетном менеджере APT, позволяющая подменить з... (Аноним) https://ns.opennet.dev/openforum/vsluhforumID3/116369.html#126 Sat, 26 Jan 2019 11:49:50 GMT Если Вас поломают, Вы об этом можете никогда даже не узнать, будучи гением системного администрирования. Но тут многое зависит от того, кто и с какими целями это сделает.<br> Уязвимость в пакетном менеджере APT, позволяющая подменить з... (Аноним) https://ns.opennet.dev/openforum/vsluhforumID3/116369.html#125 Fri, 25 Jan 2019 12:33:29 GMT Там проблема не в транспорте а в обработчиках и архитектуре апта. Из-за ошибки все проверялось не так как должно. Https уберег бы от этого.<br> Уязвимость в пакетном менеджере APT, позволяющая подменить з... (Анонымоус) https://ns.opennet.dev/openforum/vsluhforumID3/116369.html#124 Thu, 24 Jan 2019 18:24:57 GMT Поясните далекому от всего этого http. Почему вообще свойства транспорта как-то повлияли на apt? Есть же подписанный Release, в нем есть хэш Packages, а в нем хэши deb'ов. И что мешает проверить хэш полученного файла? Для того это все и существует, чтобы обнаруживать, пришел ли файл целым и настоящим, или испорченным. Невзирая на то, как он пришел. Чего я не понимаю? Всего?<br> Уязвимость в пакетном менеджере APT, позволяющая подменить з... (su) https://ns.opennet.dev/openforum/vsluhforumID3/116369.html#123 Thu, 24 Jan 2019 08:20:23 GMT глаза откройте, у кого они еще есть. Уязвимость устранена в v.1.4.9. Для Debian 9.6. Stable уже не особо актуально <br> Уязвимость в пакетном менеджере APT, позволяющая подменить з... (Я) https://ns.opennet.dev/openforum/vsluhforumID3/116369.html#122 Wed, 23 Jan 2019 20:26:30 GMT https://gentoo.org/support/news-items/2018-01-30-portage-rsync-verification.html<br><br>&gt; Starting with sys-apps/portage-2.3.21, Portage will verify the Gentoo repository after rsync by default. Уязвимость в пакетном менеджере APT, позволяющая подменить з... (jalavan) https://ns.opennet.dev/openforum/vsluhforumID3/116369.html#121 Wed, 23 Jan 2019 18:42:34 GMT Спасибо исследователю безопасности Max'y<br> Уязвимость в пакетном менеджере APT, позволяющая подменить з... (nE0sIghT) https://ns.opennet.dev/openforum/vsluhforumID3/116369.html#120 Wed, 23 Jan 2019 15:32:26 GMT &gt; в бустрапных имиджах он не сидел, и узнать о его существовании, при наличии штатных рекомендаций emerge --sync добавить в крон<br><br>Сидел он, сидел.<br>Вот даже в хэндбуке о нём написано было в далёком 2006 году: https://web.archive.org/web/20060410004826/http://www.gentoo.org:80/doc/en/handbook/handbook-x86.xml?part=1&chap=6#doc_chap_pre6<br>Правда не в контексте безопасности. Но я где-то в районе 2008-2010 годов на него перешел с emerge --sync. Как раз озадачился безопасностью.<br>