је идентификован рањивост у АПТ менаџеру пакета (ЦВЕ-КСНУМКС-КСНУМКС), Шта омогућава нападачу да покрене лажирање инсталираног пакета да ли нападач има контролу над огледалом спремишта или може пореметити транзитни саобраћај између корисника и спремишта (МИТМ напад).
Проблем је идентификовао истраживач безбедности Макс Јустицз, познат по откривању рањивости у менаџеру АПК пакета (Алпине) иу Пацкагист, НПМ и РубиГемс репозиторијумима.
Проблем То је због нетачне верификације поља у коду за обраду ХТТП преусмеравања.
У чему је проблем?
Ова рањивост омогућава нападачу да замени сопствени садржај подацима који се преносе у оквиру ХТТП сесије (Дебиан и Убунту користе ХТТП, а не ХТТПС за приступ спремишту, под претпоставком да је дигитални потпис довољан уз подударање метаподатака и величине пакета.)
Идентификована рањивост омогућава нападачу да замените послати пакет, након чега ће АПТ схватити да је примљен од званичног огледала и започети процес инсталације.
Кроз укључивање у малициозни пакет скрипти покренутих током инсталације, нападач може постићи извршење свог кода на систему са роот привилегијама.
Да би преузео податке из спремишта, АПТ покреће подређени процес са имплементацијом специфичног транспорта и организује интеракцију са овим процесом користећи једноставан текстуални протокол са командном поделом на празан ред.
Како да откријем проблем?
Суштина проблема је у томе што ХТТП транспортни руковалац, по пријему одговора од ХТТП сервера са заглављем „Лоцатион:“, захтева потврду преусмеравања главног процеса.
У потпуности се преноси садржај овог заглавља. Због недостатка чишћења пренетих специјалних знакова, нападач може да наведе прелом реда у пољу „Локација:“.
Пошто ће ова вредност бити декодирана и пренета преко комуникационог канала са главним процесом, нападач може да симулира другачији одговор од ХТТП транспортног руковаоца и да замени симулирани блок 201 УРИ.
На пример, ако, када захтева пакет, нападач замени одговор, ова замена ће резултирати преносом следећег блока података главном процесу.
Израчунавање хешова за преузете датотеке се обрађује и главни процес једноставно верификује ове податке помоћу хешова из базе података потписаних пакета.
Међу метаподацима, нападач може да наведе било које тестне хеш вредности повезане у бази података са стварним потписаним пакетима, али оне заправо не одговарају хешовима пренете датотеке.
Главни процес ће прихватити код одговора који је замењен нападом, потражити хеш у бази података и узети у обзир пакет за који постоји исправан дигитални потпис за учитавање, иако је у стварности вредност поља са хешом замењена у каналу комуникације са главним процесом који користи напад и замењеном датотеком наведеном у метаподацима.
Преузимање злонамерног пакета се врши тако што се пакет прикачи на датотеку Релеасе.гпг, током његовог преноса.
Ова датотека има предвидљиву локацију у систему датотека и прилагање пакета њеном покретању не утиче на екстракцију дигиталног потписа из спремишта.
Приликом преузимања података, апт онемогућава радне процесе који су специјализовани за различите протоколе који ће се користити за пренос података.
Главни процес затим комуницира са овим радницима преко стдин/стдоут-а како би им рекао шта да преузму и где да то ставе у систем датотека користећи протокол који помало личи на ХТТП.
Главни процес ће затим послати своју конфигурацију и затражити ресурс, а радни процес ће одговорити.
Када ХТТП сервер одговори преусмеравањем, радни процес враћа 103 Преусмеравање уместо 201 УРИ Урађено, а главни процес користи овај одговор да би открио који ресурс треба да захтева следећи.