手机版
你好,游客 登录 注册
背景:
阅读新闻

Debian和Ubuntu修复APT包管理器中的中间人攻击,立即更新

可以让远程攻击者安装恶意软件包

[日期:2019-01-24] 来源:Linux公社  作者:醉落红尘 [字体: ]

Debian项目和Canonical已经为其所有支持的发行版发布了修补的APT包,以解决可能允许远程攻击者执行中间人攻击的严重安全漏洞。

Max Justicz在APT软件包中发现了安全漏洞,Debian GNU/Linux和Ubuntu操作系统使用的高级软件包管理器,以及任何其他衍生品,官方或非官方软件,如Kubuntu,Lubuntu,Xubuntu, Ubuntu MATE,甚至是流行的Linux Mint。

该问题可能允许远程攻击者欺骗APT安装构成有效软件包的恶意软件包,但可以在安装后使用管理(root)权限执行代码,以获得对易受攻击机器的控制。有关详细信息,请参阅CVE-2019-3462

“在HTTP传输方法中处理HTTP重定向的代码无法正确清理通过网络传输的字段。这个漏洞可能被作为APT和镜像之间的中间人的攻击者用来注入恶意内容。 HTTP连接,“阅读Debian安全公告

Debian和Ubuntu修复APT包管理器中的中间人攻击,立即更新

敦促所有Debian和Ubuntu用户立即更新APT

所有Debian和Ubuntu用户以及使用APT包管理器的任何衍生产品的用户都被要求尽快更新他们的安装到他们的GNU/Linux发行版的主要软件存储库中已有的新APT版本。

Canonical已经发布了针对Ubuntu 18.10 (Cosmic Cuttlefish), Ubuntu 18.04 LTS (Bionic Beaver), Ubuntu 16.04 LTS (Xenial Xerus), Ubuntu 14.04 LTS (Trusty Tahr)和 Ubuntu 12.04 ESM (Precise Pangolin)的APT补丁版本。另一方面,Debian项目为Debian GNU/Linux 9 “Stretch”系列发布了修补的APT包。

标准系统更新将解决此问题,但Debian项目建议您在APT中禁用重定向,以防止使用以下命令利用更新过程。如果在没有重定向的情况下无法更新APT,则可以从安全通报中手动下载已修补的APT版本。

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

Debian GNU/Linux 9.7 发布,带有补丁的APT包管理器  https://www.linuxidc.com/Linux/2019-01/156495.htm 

更多Ubuntu相关信息见Ubuntu 专题页面 https://www.linuxidc.com/topicnews.aspx?tid=2

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-01/156496.htm

linux
相关资讯       APT  APT包管理器 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款