Importantes vulnerabilidades en el gestor de paquetes APT

Iniciado por Jimeno, Septiembre 17, 2014, 02:52:42 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Septiembre 17, 2014, 02:52:42 PM Ultima modificación: Septiembre 18, 2014, 02:40:33 PM por Alejandro9999
Ha sido descubiertas varias vulnerabilidades críticas en el gestor de paquetes de alto nivel APT (Advanced Package Tool) el cual utilizan Debian y Ubuntu, además de una impresionante cantidad de distribuciones derivadas.


Estas vulnerabilidades que se corrigen con una simple actualización, implican a la verificación de la integridad de las descargas.

Se descubrió que APT no invalidaba correctamente los datos no autenticados, problemas con la suma de verificación cuando se usa la opción Acquire::GzipIndexes, junto con una validación erronea de los códigos 304 y una incorrecta certificación de los paquetes binarios descargados mediante la opción apt-get download.

Tecnicismos aparte... la explotación de estas vulnerabilidades (de lo cual no hay ninguna constancia por ahora) podría dar lugar a ataques man-in-the-middle y descargar falsos paquetes manipulados por terceros.

Pero como siempre una de las ventajas del software libre es la velocidad a la hora de corregir cualquier tipo de vulnerabilidad y desde hace 24-48 horas ya existen nuevas versiones de APT disponibles:

-Ubuntu:

Ubuntu 14.04 LTS: apt 1.0.1ubuntu2.3

Ubuntu 12.04 LTS: apt 0.8.16~exp12ubuntu10.19

Ubuntu 10.04 LTS: apt 0.7.25.3ubuntu9.16

-Debian:

Debian Stable (Wheezy): apt 0.9.7.9+deb7u3

Debian Sid: apt 1.0.9

No es preciso hacer nada especial para instalar estas actualizaciones simplemente ejecutar desde la terminal:

Código: c
sudo apt-get update

sudo apt-get upgrade


Y ya estamos al día con todos los paquetes de nuestra distro actualizados (paradójicamente utilizando APT.

Una vez actualizado (o antes) podéis ver la versión que estáis utilizando de APT ejecutando

Código: c
aptitude show apt


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Contacto: @migueljimeno96 -