Han sido descubiertas varias vulnerabilidades críticas en el gestor de paquetes de alto nivel APT (Advanced Package Tool) el cual utilizan Debian y Ubuntu, además de una impresionante cantidad de distribuciones derivadas.
Estas vulnerabilidades que se corrigen con una simple actualización, implican a la verificación de la integridad de las descargas.
Se descubrió que APT no invalidaba correctamente los datos no autenticados, problemas con la suma de verificación cuando se usa la opción Acquire::GzipIndexes, junto con una validación erronea de los códigos 304 y una incorrecta certificación de los paquetes binarios descargados mediante la opción apt-get download.
Tecnicismos aparte… la explotación de estas vulnerabilidades (de lo cual no hay ninguna constancia por ahora) podría dar lugar a ataques man-in-the-middle y descargar falsos paquetes manipulados por terceros.
Pero como siempre una de las ventajas del software libre es la velocidad a la hora de corregir cualquier tipo de vulnerabilidad y desde hace 24-48 horas ya existen nuevas versiones de APT disponibles:
- Ubuntu:
Ubuntu 14.04 LTS: apt 1.0.1ubuntu2.3
Ubuntu 12.04 LTS: apt 0.8.16~exp12ubuntu10.19
Ubuntu 10.04 LTS: apt 0.7.25.3ubuntu9.16
- Debian:
Debian Stable (Wheezy): apt 0.9.7.9+deb7u3
Debian Sid: apt 1.0.9
No es preciso hacer nada especial para instalar estas actualizaciones simplemente ejecutar desde la terminal:
sudo apt-get update sudo apt-get upgrade
Y ya estamos al día con todos los paquetes de nuestra distro actualizados (paradójicamente utilizando APT 😉 )
Una vez actualizado (o antes) podéis ver la versión que estáis utilizando de APT ejecutando
sudo aptitude show apt
Gracias al amigo Pablo Moscoso por ponernos al tanto de este tema.
Imagen | Alexandre Dulaunoy
Muchisimas gracias por esta información se agradece mucho, saludos
De nada Caballero!
Un saludo 🙂
Son tantas las batallas en la vida «real» como en la virtual que todas llegan a ser en segundo plano y uno no se da cuenta y termina formando parte de algun suceso sorprendente. Un dia tendre 30 gigas libres al otro dia nada, solo observare varios archivos encriptados que jamas habia visto.
Para terminar las guerra tendran sus heroes que pocas veces sabremos quienes son.
(Ahora que si dicen que apple sufrio y tal personsa ayudo.. oohhh el gran heroe oohh.. ) … xD
Ahora se porqué tu blog lleva el lema de «realidades alternas desde .GT» y es que hay otros mundos ahí fuera… XD
lo del «aptitude show apt» será si usamos aptitude y/o lo tenemos instalado 🙂
sino «apt-get install aptitude» o bien apt show apt 🙂
Subo la apuesta para hacerlo más sencillo todavía:
En versiones modernas de Ubuntu/Debian
apt -v
Versiones antiguas de Ubuntu
apt-get -v
Tienes razón en lo de aptitude @Datil ya no está tan moda como antes (creo) y es posible que mucha gente no lo utilice ya.
Son de esas fallas de seguridad en las que nadie aparece desnudo en las redes sociales cooof Apple coooof.
Si Jennifer Lawrence y Kate upton se acaban pasando a nuestro sistema por lo de iCloud este definitivamente será el año de Linux en el escritorio xD
y que están esperando esas minas xd…. que alguien vaya a sus domicilios a evangelizarlas de una vez , con un opensuse estarían felices xd.
Muchas gracias por avisar amigo, voy a actualizar ahora mismo
De nada colega!
Un saludo!
Gracinhas, es de agradecer.
Ubuntu 10.04 LTS: apt 0.7.25.3ubuntu9.16
Para ubuntu 10.04 LTS para los servidores que aún tienen esa versión , increíble aunque usted no lo crea xd.