El Proyecto Debian y Canonical han lanzado paquetes APT parcheados para todas sus distribuciones compatibles para abordar una vulnerabilidad de seguridad crítica que podría permitir a los atacantes remotos realizar un ataque de hombre en el medio.
La vulnerabilidad de seguridad fue descubierta por Max Justicz en el paquete APT, el administrador de paquetes de alto nivel utilizado por los sistemas operativos Debian GNU / Linux y Ubuntu , así como cualquier otro derivado, oficial o no oficial, como Kubuntu , Lubuntu , Xubuntu , Ubuntu MATE, e incluso la popular Linux Mint.
El problema podría permitir a un atacante remoto engañar a APT para que instale paquetes maliciosos que se hacen pasar por válidos, pero que podrían usarse para la ejecución de código con privilegios administrativos (raíz) después de la instalación para obtener el control de la máquina vulnerable. Más detalles están disponibles para una lectura adicional en CVE-2019-3462.
"El código que maneja los redireccionamientos HTTP en el método de transporte HTTP no desinfecta adecuadamente los campos transmitidos a través del cable. Esta vulnerabilidad podría ser utilizada por un atacante ubicado como un intermediario entre APT y un espejo para inyectar contenido malicioso en la conexión HTTP ", lee el aviso de seguridad de debian .
Se insta a todos los usuarios de Debian y Ubuntu, así como a los usuarios de cualquier derivado que utilicen el gestor de paquetes APT, a que actualicen sus instalaciones lo antes posible a las nuevas versiones de APT que ya están disponibles en los principales repositorios de software de sus distribuciones GNU / Linux.
Canonical ha lanzado versiones parcheadas de APT para Ubuntu 18.10 (Sepia Cósmica), Ubuntu 18.04 LTS (Bionic Beaver), Ubuntu 16.04 LTS (Xenial Xerus), Ubuntu 14.04 LTS (Trusty Tahr) y Ubuntu 12.04 ESM (Precise Pangolin). Por otro lado, el Proyecto Debian lanzó paquetes APT parcheados para la serie Debian GNU / Linux 9 "Estirar".
Una actualización estándar del sistema solucionará el problema, pero el Proyecto Debian recomienda que deshabilite los redireccionamientos en APT para evitar la explotación del proceso de actualización usando los siguientes comandos. Si no puede actualizar APT sin redirecciones, puede descargar manualmente las versiones APT parcheadas de la advertencia de seguridad.
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
