Waa la gartay u nuglaanta maamulaha xirmada APT (CVE-2019-3462), waa maxay waxay u oggolaaneysaa weeraryahan inuu bilaabo nacfiga xirmada la rakibay haddii weeraryahanku gacanta ku hayo muraayadda wax lagu keydiyo ama uu carqaladeyn karo taraafikada u dhexeysa isticmaaleha iyo bakhaarka (MITM attack).
Dhibaatada waxaa cadeeyay baare Max Justicz, oo caan ku ah ogaanshaha nuglaanta ku jirta maareeyaha xirmada APK (Alpine) iyo keydka Packagist, NPM iyo RubyGems.
Dhibaatada Waxay u sabab tahay xaqiijin khaldan oo ka mid ah meelaha ku jira HTTP lambarka ka shaqeynaya dib u habeynta.
Waa maxay dhibaatadu?
Jilicsanaantaas waxay u oggolaaneysaa weeraryahan inuu ku beddelo waxyaabaha uu ka kooban yahay xogta lagu gudbiyey fadhiga HTTP (Debian iyo Ubuntu waxay adeegsadaan HTTP ee ma ahan HTTPS si ay u helaan keydka, iyagoo u maleynaya in saxiixa dijitaalka ah uu ku filan yahay metadata iyo cabirka baakadka ee u dhigma.)
Jilicsanaanta la aqoonsaday ayaa u oggolaanaysa awoodda weeraryahan beddel baakadka la soo gudbiyey, ka dib markaa APT waxay u dareemi doontaa sida laga helay muraayada rasmiga ah waxayna bilaabi doontaa hawsha rakibida.
Iyadoo lagu darayo xirmada xun ee qoraallada la bilaabay intii lagu jiray rakibidda, weeraryahan wuxuu ku guuleysan karaa fulinta koodhkiisa nidaam leh mudnaanta xididdada.
Si looga soo dejiyo xogta keydka, APT waxay kubilaabtaa howsha cunugga hirgalinta gaadiid qaas ah waxayna abaabushaa isdhexgalka hanaankan iyadoo la adeegsanaayo hab maamuus qoraal fudud oo qeybinta amarada xariiq maran.
Sideen ku ogaan karaa dhibaatada?
Dhibaatadu waxay ugu weyn tahay HTTP-ka gaadiid-qaadaha, Marka aad jawaab ka hesho server HTTP oo leh cinwaanka "Goobta:", waxay codsaneysaa xaqiijinta dib u jeedinta habraaca ugu weyn.
Gebi ahaanba wareejinta waxyaabaha ku jira cinwaankan. Nadaafad darrada ka jirta jilayaasha gaarka ah ee la isugu gudbiyey awgood, weeraryahan ayaa qeexi kara khadka khadka ee "Goobta:" goobta.
Maaddaama qiimahan la soo saari doono loona gudbin doono kanaalka isgaarsiinta iyadoo la raacayo habka ugu weyn, weeraryahanku wuxuu u ekeysiin karaa jawaab ka duwan kan gacanta ku haya HTTP wuxuuna beddeli karaa xannibaadda 201 URI.
Tusaale ahaan, haddii, markii aad codsaneysid baakad, weeraryahanku uu beddelo jawaabta, beddelkan wuxuu sababi doonaa in lagu wareejiyo baloogga xogta xigta ee habka ugu weyn.
Xisaabinta xashiishka faylasha la soo dejiyey ayaa la maareeyaa oo habka ugu weyn ayaa si fudud loogu hubiyaa xogtan iyada oo la adeegsanayo hashes ka keydka keydadka xirmooyinka saxiixan.
Waxyaabaha metadata ka mid ah, weeraryahan ayaa qeexi kara qiime kasta oo ah cufnaanta tijaabada ah ee ku xiran keydka macluumaadka ee xirmooyinka saxda ah ee la saxiixay, laakiin dhab ahaan uma dhigmo xashiishka faylka la wareejiyay
Nidaamka ugu muhiimsan wuxuu aqbali doonaa lambarka jawaabta ee lagu beddelay weerarka, raadi haashka keydka macluumaadka oo tixgeli in baakadka ay ku jirto saxeex sax ah oo sax ah la raro, in kasta oo run ahaantii qiimaha beerta leh xashiishka lagu beddelay kanaalka isgaarsiinta ee leh habka ugu muhiimsan ee loo adeegsado weerarka iyo feylka lagu qeexay metadata la beddelay.
Soo degsashada xirmo xaasidnimo leh waxaa lagu sameeyaa iyadoo xirmada lagu lifaaqayo feylka Release.gpg, inta lagu jiro wareejinta.
Faylkani wuxuu leeyahay meel la saadaalin karo oo ku saabsan nidaamka faylka oo ku lifaaqan xirmo bilowgiisa ma saameynayso soo saarista saxiixa dijitaalka ah ee keydka.
Markaad heleyso xogta, qalabku wuxuu joojiyaa howlaha shaqaalaha ee ku takhasusay qawaaniinta kala duwan ee loo isticmaali doono wareejinta xogta.
Nidaamka ugu muhiimsan ayaa markaa kula xiriiraya shaqaalahan adoo adeegsanaya stdin / stdout si loogu sheego waxa la soo dejinayo iyo meesha la dhigo nidaamka faylasha iyadoo la adeegsanayo borotokol u eg xoogaa HTTP ah.
Nidaamka ugu muhiimsan ayaa markaa soo gudbin doona qaabeyntiisa oo codsan doona kheyraad iyo hawsha shaqaalaha ayaa ka jawaabi doonta.
Marka adeegaha HTTP uu ka jawaabo dib u jeedin, nidaamka shaqaaluhu wuxuu ku soo celiyaa 103 Dib u hagaajin halkii uu ka noqon lahaa 201 URI Done, habka ugu weyna wuxuu u adeegsadaa jawaabtan si loo ogaado ilaha la codsan karo ee soo socda.