هشدارهای افتایی
یک نقص اجرای کد راه دور درAPTهای مدیریت بسته‌ی سطح بالای مورد استفاده توسط Debian، Ubuntu و سایر توزیع‌های لینوکس کشف شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از BleepingComputer، آسیبپذیری APT موجود در مدیریت بسته در نسخه 0.8.15، به مرد میانی شبکه (یا لینک مخرب بسته‌ها)، اجازه اجرا کد دلخواه به عنوان کاربر root در دستگاه هدف، حین نصب هر نوع بسته‌ای، را می‌دهد. این نقص در آخرین نسخه (APT (1.4.9 رفع شده است.
کد‌های مدیریت HTTP که در روش انتقال HTTP هدایت می‌شوند، فیلدهای انتقال‌یافته را به درستی پاکسازی نمی‌کنند. این آسیب‌پذیری می‌تواند توسط مهاجمی که به عنوان مرد میانی بین APT و دریافت‌کننده بسته قراردارد، برای تزریق محتوای مخرب در اتصال HTTP استفاده شود. سپس این محتوا می‌تواند به عنوان بسته‌ای معتبر توسط APT شناخته‌شده و برای اجرای کد در سطح root در دستگاه هدف مورد استفاده قرارگیرد.
این آسیب‌پذیری به عنوان "تزریق محتوا در روش HTTP" توصیف شده و با شناسه  CVE-2019-3462  شناخته می‌شود و بر مدیریت بسته‌ها تاثیر می‌‌گذارد. از آنجا که APT ابزاری است که برای به‌روز‌رسانی اجزای سیستم عامل مورد استفاده قرار می‌گیرد، کارشناسان به کاربران توصیه می‌کنند تا زمانی که APT خود را به آخرین نسخه پچ‌شده ارتقا می‌دهند، از رویکردهای امنیتی ارائه شده پیروی کنند.
کاربرانی که نمی‌توانند سیستم خود را با استفاده از APT و بدون تغییر مسیر، به روز کنند، می‌توانند نسخه‌های به روز شده را به صورت دستی با کمک curl یا wget دانلود کرده و بعد از بررسی هش‌ها برای اطمینان از عدم دستکاری بسته‌ها، آن‌ها را به کمک dpkg -i نصب کنند.
نسخه‌های آسیب‌پذیر APT قادر به مدیریت درست خطاهای ناشی از اعتبارسنجی امضاها در فایل‌های InRelease نیستند. یک مهاجم می‌تواند در مسیر درخواست‌های HTTP به مخزن APT که از فایل های InRelease  استفاده می‌کنند، قرار گیرد تا از این نقص برای دور زدن فرایند امضای فایل‌های InRelease استفاده کند، که در نهایت منجر به اجرای کد دلخواه خواهد شد. 


منبع : 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.