Екипите грижещи се за сигурността на големите Линукс дистрибуции на основата на Debian и други, издадоха нова версия на пакетния мениджър APT. Тя адресира наскоро открита критична уязвимост, която може да бъде експлоатирана по дистанционен път.
CVE-2019-3462 е разкрита от независимия разработчик Макс Юстич и се крие в начина, по който инструментът санитизира определени параметри при HTTP пренасочвания, което позволява на външна страна да инжектира зловредно съдържание и да подлъже системата да бъдат инсталирани модифицирани пакети. APT HTTP пренасочванията помагат на Линкс машините да намерят най-подходящото „огледало“, за да бъдат свалени търсените софтуерни пакети в случаи, в които другите са недостъпни. Ако заявката към първия сървър отговори с грешка, бива връщан отговор с местоположението на следващия сървър, откъдето клиентът може да свали нужния пакет.
Така, както обясняват и от Hacker News, атакуващата страна, който може да пресече HTTP трафика между APT клиента и огледалния сървър, може да инсталира зловредни пакето в мрежовия трафик и да изпълни случаен код към системата с най-високи привилегии.
