Mobilno RSS Facebook Twitter E-novice Nastavi za domačo stran Dodaj med priljubljene Podcast Rock Radio Pozabljeno geslo Registriraj se Prijava



  • A- A+

12.02.2019      19:00
|
Kritična ranljivost Linux APT orodja

Kaj vse lahko hekerji spreminjajo?

  • A- A+

Ranljivost v linux APT orodjuRanljivost v linux APT orodju

Odkrita je bila kritična ranljivost v Linux APT orodju, ki hekerjem omogoča oddaljen dostop do naprav.

Podrobnosti o novi kritični ranljivosti Linux APT je odkril varnostni raziskovalec Max Justicz pri izvajanju oddaljene kode v orodju APT-GET. Orodje lahko izkoristi oddaljeni napadalec, da ogrozi Linux okolja. Ranljivost tudi dokazuje, da se tovrstni napadi lahko zlahka ublažijo, če sistem prenosa programske opreme za varno komunikacijo uporablja protokol HTTPS.

Ranljivost (CVE-2019-3462) se nahaja v upravitelju paketov APT, široko uporabnem programskem orodju, ki olajša namestitev, posodobitev in odstranjevanje programske opreme na Debian, Ubuntu in drugih Linux distribucijah.

Preusmeritve v Linux APT orodju

Glede na zapis v blogu, ki ga je objavil Justicz, orodje APT ne odpravlja ustreznega preverjanja parametrov med HTTP preusmeritvami na zrcalne strežnike, kar napadalcem omogoča, da izvedejo t. i. »man-in-the-middle« napad in vstavijo zlonamerno vsebino ter tako preoblikujejo spremenjen sistem paketov.

Na Twitterju se je med nekaterimi strokovnjaki za kibernetsko varnost vnela razprava, da se se lahko zanesemo le na verifikacijo paketov, ki temeljijo na podpisu, samo zato, ker to stori tudi APT na Linux-u, ne pa tudi na posodobitve preko HTTPS protokola.

Preusmeritve APT HTTP pomagajo operacijskim sistemom Linux, da samodejno najdejo ustrezen strežnik za nalaganje programskih paketov, ko drugi strežniki niso na voljo. Če prvi strežnik nekako ne uspe, vrne odgovor z lokacijo naslednjega strežnika, od koder mora odjemalec zahtevati paket.

"Na žalost HTTP proces dekodira URL HTTP glavo ('URL location header') in jo slepo doda k 103 HTTP sporočilu – odgovor preusmeritve," pojasnjuje Justicz.


Kako se zaščitimo?

Čeprav Justicz ni testiral, verjame, da ranljivost vpliva na vse vrste prenosov paketov, tudi če prvič nameščate paket ali posodobite starega.

Da bi zaščitili verodostojnost programskih paketov je pomembno, da uporabljate preverjanje, ki temelji na podpisih. Razvijalci programske opreme nimajo nadzora nad t. i. zrcalnimi strežniki, vendar to ne pomeni, da je treba prezreti prednosti uporabe protokola HTTPS nad kompleksnostjo infrastrukturne nadgradnje v nekaterih posebnih primerih.


Katera oprema je varna?

Za nobeno programsko opremo, platformo ali strežnik ne moremo trditi, da je 100-odstotno varna, zato sprejetje ideje obrambe v globino ('defense-in-depth') ni slaba ideja in bi jo morali upoštevati vsi.

Prav tako je treba opozoriti, da strokovnjaki za kibernetsko varnost ne pričakujejo, da bodo organizacije ali razvijalci odprtokodnih rešitev implementirali HTTPS čez noč, vendar ne bi smeli zavračati varnostnih mehanizmov.

Debian in Ubuntu uporabljata navaden vir paketov HTTP, pri čemer vam Debian omogoča, da med namestitvijo izberete želeno zrcalno stran. Dejansko pa ne podpira HTTPS repozirotjev, kar pomeni, da morate najprej namestiti 'apt-transport-https'. Priporočamo uporabo privzetih HTTPS virov paketov za varnejše komuniciranje, uporabnikom pa omogočiti, da se lahko naknadno odločijo, ali bodo varnost zmanjšali.


Posodobitve APT so že na voljo!

Razvijalci programske opreme APT so izdali posodobljeno različico 1.4.9, ki odpravlja ranljivost oddaljenega izvajanje kode.

APT-GET je del mnogih velikih distribucij Linuxa, vključno z Debianom in Ubuntujem, ki pa so prav tako priznale napako in izdale varnostne posodobitve.  Strokovnjaki za kibernetsko varnost priporočamo, da uporabniki Linux-a svoje sisteme čim prej posodobite in s tem zagotovite večjo varnost.

 

Si prizadevate izboljšati omrežno varnost?
Smart Com strokovnjaki za kibernetsko varnost vam lahko pri tem pomagamo z nasvetom in/ali poglobljenim pregledom.











KOMENTIRAJ

X



ANKETA
Arhiv anket

Kaj pravite na Libro - novo kriptovaluto podjetja Facebook?







>>
Facebookova kriptovaluta bo Libra

ZADNJE RAČUNALNIŠKE TEŽAVE IN REŠITVE

ZADNJE KOMENTIRANE NOVICE

Kalifornijska policija kar z robotom nad krim... 1
slo81a  |  Končno pameten policaj.
Nov način zaščite stekla pametnih telefonov 1
slo81a  |  to že 2 leti uporabljam na s 8 plus,kakš...
Ameriške sankcije proti Huaweiu: Kdo bo zmaga... 1
vine.lunar  |  Huawei pač ne bo nameščal guglovih aplik...
Preizkusite EON brezplačno 2
Justin.Forfunky  |  Na računalniku visoka ločljivost EON TV ...
Zakaj se Združene države bojijo Huaweia? 4
Eden  |  Malo poglej koliko Huawei vlaga v razvoj...
RN KANAL




e-novice Želim brezplačno izdajo uredniškega izbora
najboljših računalniških novic na e-mail
Potrdi
(predogled)
(predogled)
(predogled)


100% skrbno bomo varovali vašo zasebnost in odnaročili se boste lahko kadarkoli!
Twitter




V zgornje okence vpišite vaš elektronski naslov, na katerega boste prejeli nadaljna navodila.

Mozilla Firefox

Kliknite na meni Orodja (Tools) in izberite Možnosti (Options)
V zavihku Splošno (Main) v polje Domača stran (Home Page) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Internet Explorer

Kliknite na meni Orodja (Tools) in izberite Internetne možnosti (Internet Options)
V zavihku Splošno (General) v polje Home Page (Domača stran) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Chrome

Hkrati pritisnite ALT+F in izberite Možnosti
V zavihku Osnove kliknite na gumb Uporabi trenutno stran
Kliknite na gumb Zapri

Netscape Navigator

Kliknite na meni Tools in izberite Options
V zavihku Main v polje Home Page vpišite naslov rn.si
Kliknite na gumb OK

Opera

Hkrati pritisnite CRTL+F12
Kliknite gumb »Use current«
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+","
Izberete zavihek General
Kliknite gumb »Set to current page«

Mozilla Firefox

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Shrani (Save)

Internet Explorer

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Dodaj (Add)

Chrome

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Končano (Finish)

Netscape Navigator

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Opera

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK