Er blevet identificeret en sårbarhed i APT-pakkehåndteringen (CVE-2019-3462), end tillader en hacker at starte en spoof af den installerede pakke om angriberen har kontrol over arkivspejlet eller kan forstyrre transittrafik mellem brugeren og lageret (MITM-angreb).
Problemet blev identificeret af sikkerhedsforsker Max Justicz, kendt for at opdage sårbarheder i APK-pakkehåndteringen (Alpine) og i Packagist, NPM og RubyGems repositories.
Problemet Det skyldes forkert verifikation af felterne i HTTP-omdirigeringskodning.
Hvad er problemet?
Denne sårbarhed tillader en hacker at erstatte sit eget indhold i de data, der transmitteres inden for HTTP-sessionen (Debian og Ubuntu bruger HTTP og ikke HTTPS for at få adgang til lageret, forudsat at den digitale signatur er tilstrækkelig med matchende metadata og pakkestørrelse.)
Den identificerede sårbarhed tillader angriberens magt udskift den transmitterede pakke, hvorefter APT opfatter den som modtaget fra det officielle spejl og starter installationsprocessen.
Gennem medtagelsen i den ondsindede pakke af scripts, der blev lanceret under installationen, kan en angriber opnå udførelsen af sin kode på et system med rodrettigheder.
For at downloade data fra arkivet starter APT en underordnet proces med implementeringen af en bestemt transport og organiserer interaktionen med denne proces ved hjælp af en simpel tekstprotokol med opdeling af kommandoer med en tom linje.
Hvordan finder jeg problemet?
Essensen af problemet er, at HTTP-transporthåndteringen, efter modtagelse af et svar fra HTTP-serveren med overskriften "Location:", anmoder den om bekræftelse af omdirigering fra hovedprocessen.
Helt overføre indholdet af denne overskrift. På grund af manglen på renhed af de transmitterede specialtegn kan en angriber angive et linjeskift i feltet "Placering:"
Da denne værdi vil blive afkodet og transmitteret gennem kommunikationskanalen med hovedprocessen, kan angriberen simulere et andet svar fra HTTP-transporthåndteringen og erstatte dummy 201 URI-blokken.
For eksempel, hvis angriberen, når han anmoder om en pakke, erstatter svaret, vil denne erstatning resultere i overførsel af den næste blok med data til hovedprocessen.
Beregningen af hashes for de downloadede filer håndteres, og hovedprocessen kontrollerer simpelthen disse data med hashes fra databasen over signerede pakker.
Blandt metadataene kan en angriber angive en hvilken som helst værdi af test hashes, der er knyttet i databasen til faktiske signerede pakker, men det svarer faktisk ikke til hashes for den overførte fil.
Hovedprocessen accepterer svarskoden, der er erstattet af angrebet, skal du kigge efter hash i databasen og overveje, at pakken, som der er en korrekt digital signatur for, er indlæst, selvom værdien i feltet med hash er i stedet for kommunikationskanalen med hovedprocessen ved hjælp af angrebet og filen angivet i de udskiftede metadata.
Download af en ondsindet pakke sker ved at vedhæfte pakken til Release.gpg-filen under overførslen.
Denne fil har en forudsigelig placering på filsystemet, og vedhæftning af en pakke til dens opstart påvirker ikke udvindingen af den digitale signatur fra arkivet.
Når man henter data, deaktiverer apt arbejdsprocesser, der er specialiserede i de forskellige protokoller, der skal bruges til dataoverførsel.
Hovedprocessen kommunikerer derefter med disse medarbejdere via stdin / stdout for at fortælle dem, hvad de skal downloade, og hvor de skal placeres på filsystemet ved hjælp af en protokol, der ligner lidt HTTP.
Hovedprocessen sender derefter sin konfiguration og anmoder om en ressource, og arbejdsprocessen reagerer.
Når HTTP-serveren reagerer med en omdirigering, returnerer arbejdsprocessen en 103-omdirigering i stedet for en 201 URI-udført, og hovedprocessen bruger dette svar til at finde ud af, hvilken ressource der skal anmodes om næste.