Apt/apt-get 远程代码执行 (CVE-2019-3462)

本文详细介绍了Linux包管理器apt/apt-get中发现的远程代码执行漏洞CVE-2019-3462。该漏洞允许中间人攻击,使攻击者能以root权限执行任意代码。补丁分析显示,修复措施包括在升级时禁用HTTP重定向和更新apt到最新版本。受影响的Debian和Ubuntu版本也在文中列出。

研究人员 Max Justicz 日前发现了知名 Linux 包管理器 apt/apt-get 中的远程代码执行漏洞,该漏洞允许外部进行中间人攻击并以 root 权限以执行任何代码。该漏洞已在最新版本 apt 修复,如果担心在升级过程中遭到攻击,可以在更新时禁用 HTTP 重定向功能进行安全升级:

$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false

漏洞背景

在获取数据时,apt会fork出专门用于数据传输的worker进程。父进程使用有点像HTTP的协议通过stdin/stdout与这些worker进程进行通信,告诉它们下载什么以及将下载的内容放在文件系统的什么位置上。

当HTTP服务响应一个重定向时,woker进程会返回103 Redirect 而不是201 URI Done接下来父进程使用这个响应来确定下一步应该请求的资源:

103 Redirect
URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb
New-URI: http://example.com/new-uri

漏洞详情:

对HTTP Location报头进行url解码并把解码后的内容没有进行任何校验,盲目地拼接到103 Redirect的响应上:

// From methods/basehttp.cc
NextURI = DeQuoteString(Req.Location);
...
Redirect(NextURI);

// From apt-pkg/acquire-method.cc
void pkgAcqMethod::Redirect(const string &NewURI)
{
   std::cout << "103 Redirect\nURI: " << Queue->Uri << "\n"
             << "New-URI: " << NewURI << "\n"
             << "\n" << std::flush;
   Dequeue();
}

如果HTTP服务发送

Location: /new-uri%0AFoo%3A%20Bar

返回的响应为:

103 Redirect
URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb
New-U
### OpenSSH ssh-38408) 详情 #### 影响范围 此漏洞影响 `ssh-agent` 和 `openssh` 的特定版本。具体来说,受影响的版本包括但不限于: - `ssh-agent@(-∞, 9.3-p2)` - `openssh@(-∞, 9.3p2-1)` 当用户使用 SSH-Agent 转发代理功能连接至攻击者的恶意服务器时,存在越权访问风险[^3]。 #### 漏洞描述 SSH-Agent 是 SSH 协议的一部分,主要用于管理和处理私钥以及支持公钥认证过程中的身份验证请求。然而,在某些情况下,如果 SSH-Agent 对加载的共享库缺乏适当的安全限制,则可能导致安全问题。特别是,攻击者可以利用这一特性将恶意编写的共享库文件作为参数传递给 SSH-Agent,并通过调用 dlopen/dlclose 函数来动态加载或卸载这些库文件,从而触发远程代码执行的可能性。 #### 处置建议与修复方法 为了防止此类攻击的发生,官方已发布更新补丁以解决这个问题。对于受到影响的产品和服务,推荐采取如下措施进行防护: - **立即升级**:尽快把当前使用的 OpenSSH 更新到最新的稳定发行版(至少为 v9.3p2 或更高),这一步骤至关重要,因为新版本包含了针对该漏洞的有效修补程序。 - **配置调整**:在完成软件包升级之后,还需注意检查并修改 `/etc/ssh/sshd_config` 文件内的设置项。例如,确保 HostKeyAlgorithms 参数中包含多种算法选项,如 `HostKeyAlgorithms ssh-rsa,ssh-ed25519,...` ,以此增强系统的兼容性和安全性[^4]。 ```bash sudo apt-get update && sudo apt-get install openssh-server -y ``` 上述命令适用于基于 Debian/Ubuntu Linux 发行版的操作系统;其他平台应参照各自文档指导来进行相应操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值