Debian プロジェクトは、ソフトウェア マネージャー Apt のセキュリティ上の欠陥を修正しました。この欠陥を悪用すると、ネットワーク スヌープによって、被害者のボックスでパッケージを更新またはインストールする際に、ルートとしてコマンドが実行される可能性があります。
Linuxディストリビューションのキュレーターは、研究者のMax Justicz氏によって発見され報告された脆弱性であるCVE-2019-3462に対処するための修正プログラムをリリースした。
この脆弱性は、Apt と apt-get がパッケージをダウンロードする際に HTTP リダイレクトを処理する方法に関連しています。Apt は、より安全な HTTPS 接続ではなく、従来の HTTP 経由でパッケージを取得し、ダウンロードしたコンテンツが正規のものであり、改ざんされていないことを確認するために暗号署名を使用します。
残念ながら、これは、被害者のネットワーク接続を傍受して改ざんできる中間者 (MITM) 攻撃者が、HTTP ヘッダーにリダイレクトを挿入して、パッケージを取得するために使用される URL を変更する可能性があることを意味します。
さらに、ハッカーは、ダウンロードしたパッケージをチェックするために Apt が使用するハッシュを制御し、パッケージ マネージャーに正当な値を渡して、取得したマルウェアを認可されたソフトウェアとして偽装できるようになります。
つまり、インストール中にルートとして実行されるマルウェアがユーザーに侵入し、マシンを乗っ取ることができるのです。
SystemDのDはDammmitの略です... 多くの人に愛されているLinuxツールキットにセキュリティホールが発見されました
続きを読む
「apt に脆弱性を発見しました。これにより、ネットワーク中間者 (または悪意のあるパッケージミラー) が、任意のパッケージをインストールするマシン上でルートとして任意のコードを実行できるようになります」とジャスティツ氏は説明した。
Debian開発者のYves-Alexis Perez氏は次のように述べています。「この脆弱性は、APTとミラーサイトの間に中間者攻撃者として存在する攻撃者によって悪意のあるコンテンツがHTTP接続に挿入されるために利用される可能性があります。このコンテンツはAPTによって有効なパッケージとして認識され、標的マシン上でルート権限を使ってコード実行に利用される可能性があります。」
Debian は、この脆弱性に対処するために Apt のアップデートをリリースしました。
さらに、Apt は Apt 自身によって更新されます。更新メカニズムが安全ではないため、セキュリティ修正を安全にインストールするには追加の手順が必要です。管理者はまずリダイレクトを無効化し(下記参照)、その後、通常の apt の更新およびアップグレード手順を実行する必要があります。
$ sudo apt update -o Acquire::http::AllowRedirect=false $ sudo apt upgrade -o Acquire::http::AllowRedirect=false
Justicz氏は、最後に暗号チェックが行われる限り、更新にHTTPを使用すること自体は悪い習慣ではないと指摘した。HTTPSは少なくとも接続を暗号化で包み込むため、転送中に誰かがデータを改ざんしていないかどうかを検出できる。
「HTTPをサポートするのは問題ありません」とジャスティツ氏は述べた。「ただ、HTTPSリポジトリをデフォルト(より安全なデフォルト)にし、ユーザーが希望すれば後でセキュリティをダウングレードできるようにすることは価値があると思います。」®
