Воспользовавшись уязвимостью, атакующий может выполнить код с правами суперпользователя.
В пакетном менеджере APT, используемом в Debian, Ubuntu и других дистрибутивах Linux, обнаружена уязвимость (CVE-2019-3462), позволяющая злоумышленнику подменить устанавливаемый пакет при наличии контроля над зеркалом репозитория или возможности проведения атаки «человек посередине». Уязвимость присутствует во всех версиях утилиты, начиная с 0.8.15.
Как пояснил исследователь безопасности Макс Юстич (Max Justicz), обнаруживший проблему, уязвимость связана с некорректной проверкой полей в коде обработки HTTP-редиректов, что предоставляет атакующему в позиции «человек посередине» возможность внедрить вредоносный контент в данные, передаваемые в рамках HTTP-сеанса. APT распознает контент как действительный пакет, тем самым позволяя злоумышленнику выполнить код с правами суперпользователя на целевой системе.
Уязвимость устранена в версии APT 1.4.9, а также в обновлениях пакетов в Ubuntu и стабильных ветках Debian (Jessie и Stretch), но в экспериментальных ветках Debian проблема пока не исправлена. В качестве временной защитной меры разработчики Debian рекомендуют при выполнении операций с apt/apt-get отключать поддержку редиректов (например, “apt -o Acquire::http::AllowRedirect=false update”; apt -o Acquire::http::AllowRedirect=false update”). Данная мера может привести к нарушению работы автоматического проброса на ближайшее зеркало, поэтому в sources.list рекомендуется заменить security.debian.org на конкретное зеркало (например, cdn-fastly.deb.debian.org).
Видео с демонстрацией процесса эксплуатации уязвимости:
