Importantes vulnerabilidades en el gestor de paquetes APT

hacker

Han sido descubiertas varias vulnerabilidades críticas en el gestor de paquetes de alto nivel APT (Advanced Package Tool) el cual utilizan Debian y Ubuntu, además de una impresionante cantidad de distribuciones derivadas.

Estas vulnerabilidades que se corrigen con una simple actualización, implican a la verificación de la integridad de las descargas.

Se descubrió que APT no invalidaba correctamente los datos no autenticados, problemas con la suma de verificación cuando se usa la opción Acquire::GzipIndexes, junto con una validación erronea de los códigos 304 y una incorrecta certificación de los paquetes binarios descargados mediante la opción apt-get download.

Tecnicismos aparte… la explotación de estas vulnerabilidades (de lo cual no hay ninguna constancia por ahora) podría dar lugar a ataques man-in-the-middle y descargar falsos paquetes manipulados por terceros.

Pero como siempre una de las ventajas del software libre es la velocidad a la hora de corregir cualquier tipo de vulnerabilidad y desde hace 24-48 horas ya existen nuevas versiones de APT disponibles:

  • Ubuntu:

Ubuntu 14.04 LTS: apt 1.0.1ubuntu2.3

Ubuntu 12.04 LTS: apt 0.8.16~exp12ubuntu10.19

Ubuntu 10.04 LTS: apt 0.7.25.3ubuntu9.16

  • Debian:

Debian Stable (Wheezy): apt 0.9.7.9+deb7u3

Debian Sid: apt 1.0.9

No es preciso hacer nada especial para instalar estas actualizaciones simplemente ejecutar desde la terminal:

sudo apt-get update

sudo apt-get upgrade

Y ya estamos al día con todos los paquetes de nuestra distro actualizados (paradójicamente utilizando APT 😉 )

Una vez actualizado (o antes) podéis ver la versión que estáis utilizando de APT ejecutando

sudo aptitude show apt

Gracias al amigo Pablo Moscoso por ponernos al tanto de este tema.

Imagen | Alexandre Dulaunoy

13 thoughts on “Importantes vulnerabilidades en el gestor de paquetes APT”

  1. jucaballeroJuan Carlos says:

    Muchisimas gracias por esta información se agradece mucho, saludos

    1. tannhausser says:

      De nada Caballero!
      Un saludo 🙂

  2. dbillyx (@dbillyx) says:

    Son tantas las batallas en la vida “real” como en la virtual que todas llegan a ser en segundo plano y uno no se da cuenta y termina formando parte de algun suceso sorprendente. Un dia tendre 30 gigas libres al otro dia nada, solo observare varios archivos encriptados que jamas habia visto.

    Para terminar las guerra tendran sus heroes que pocas veces sabremos quienes son.

    (Ahora que si dicen que apple sufrio y tal personsa ayudo.. oohhh el gran heroe oohh.. ) … xD

    1. tannhausser says:

      Ahora se porqué tu blog lleva el lema de “realidades alternas desde .GT” y es que hay otros mundos ahí fuera… XD

  3. Dátil Rupit says:

    lo del “aptitude show apt” será si usamos aptitude y/o lo tenemos instalado 🙂
    sino “apt-get install aptitude” o bien apt show apt 🙂

    1. tannhausser says:

      Subo la apuesta para hacerlo más sencillo todavía:

      En versiones modernas de Ubuntu/Debian
      apt -v

      Versiones antiguas de Ubuntu
      apt-get -v

      Tienes razón en lo de aptitude @Datil ya no está tan moda como antes (creo) y es posible que mucha gente no lo utilice ya.

  4. linuxmanr4 says:

    Son de esas fallas de seguridad en las que nadie aparece desnudo en las redes sociales cooof Apple coooof.

    1. tannhausser says:

      Si Jennifer Lawrence y Kate upton se acaban pasando a nuestro sistema por lo de iCloud este definitivamente será el año de Linux en el escritorio xD

      1. reisilver says:

        y que están esperando esas minas xd…. que alguien vaya a sus domicilios a evangelizarlas de una vez , con un opensuse estarían felices xd.

  5. Liher Sanchez says:

    Muchas gracias por avisar amigo, voy a actualizar ahora mismo

    1. tannhausser says:

      De nada colega!
      Un saludo!

  6. portaroportaro says:

    Gracinhas, es de agradecer.

  7. reisilver says:

    Ubuntu 10.04 LTS: apt 0.7.25.3ubuntu9.16

    Para ubuntu 10.04 LTS para los servidores que aún tienen esa versión , increíble aunque usted no lo crea xd.

Deja un comentario