Max Justicz, um cientista da computação formado pelo MIT em 2017, anunciou ontem a descoberta de uma gravíssima falha no APT, o gerenciador de pacotes do Linux Debian, o que também afeta distros associadas a ele como Ubuntu e Kali pro exemplo. Ele conta que “essa vulnerabilidade no APT permite que um man-in-the-middle na rede (ou um mirror malicioso de pacotes) execute código arbitrário como root na máquina onde está sendo instalado o pacote”. Segundo o Security Advisory da Debian sobre o assunto (DSA-4371-1), “o código que manipula redirecionamentos HTTP no método de transporte HTTP não limpa adequadamente os campos transmitidos na conexão. Essa vulnerabilidade pode ser usada por um invasor intermediário entre o APT e um espelho, para injetar conteúdo malicioso na conexão HTTP. Esse conteúdo pode então ser reconhecido como um pacote válido pelo APT e usado posteriormente para execução de código com privilégios de root na máquina de destino”. Os avisos da Debian e do Ubuntu, incluindo instruções para correção do problema, estão nos seguintes endereços
- Debian
https://lists.debian.org/debian-security-announce/2019/msg00010.html - Ubuntu
https://usn.ubuntu.com/3863-1
O bug já foi corrigido nas versões mais recentes do APT. Você pode assistir a um vídeo e ler a descrição da POC no blog de Max em
https://justi.cz/security/2019/01/22/apt-rce.html