Importantes vulnerabilidades en el gestor de paquetes APT

por | 18 septiembre, 2014

hacker

Han sido descubiertas varias vulnerabilidades críticas en el gestor de paquetes de alto nivel APT (Advanced Package Tool) el cual utilizan Debian y Ubuntu, además de una impresionante cantidad de distribuciones derivadas.

Estas vulnerabilidades que se corrigen con una simple actualización, implican a la verificación de la integridad de las descargas.

Se descubrió que APT no invalidaba correctamente los datos no autenticados, problemas con la suma de verificación cuando se usa la opción Acquire::GzipIndexes, junto con una validación erronea de los códigos 304 y una incorrecta certificación de los paquetes binarios descargados mediante la opción apt-get download.

Tecnicismos aparte… la explotación de estas vulnerabilidades (de lo cual no hay ninguna constancia por ahora) podría dar lugar a ataques man-in-the-middle y descargar falsos paquetes manipulados por terceros.

Pero como siempre una de las ventajas del software libre es la velocidad a la hora de corregir cualquier tipo de vulnerabilidad y desde hace 24-48 horas ya existen nuevas versiones de APT disponibles:

  • Ubuntu:

Ubuntu 14.04 LTS: apt 1.0.1ubuntu2.3

Ubuntu 12.04 LTS: apt 0.8.16~exp12ubuntu10.19

Ubuntu 10.04 LTS: apt 0.7.25.3ubuntu9.16

  • Debian:

Debian Stable (Wheezy): apt 0.9.7.9+deb7u3

Debian Sid: apt 1.0.9

No es preciso hacer nada especial para instalar estas actualizaciones simplemente ejecutar desde la terminal:

sudo apt-get update

sudo apt-get upgrade

Y ya estamos al día con todos los paquetes de nuestra distro actualizados (paradójicamente utilizando APT 😉 )

Una vez actualizado (o antes) podéis ver la versión que estáis utilizando de APT ejecutando

sudo aptitude show apt

Gracias al amigo Pablo Moscoso por ponernos al tanto de este tema.

Imagen | Alexandre Dulaunoy

13 pensamientos en “Importantes vulnerabilidades en el gestor de paquetes APT

  1. dbillyx (@dbillyx)

    Son tantas las batallas en la vida «real» como en la virtual que todas llegan a ser en segundo plano y uno no se da cuenta y termina formando parte de algun suceso sorprendente. Un dia tendre 30 gigas libres al otro dia nada, solo observare varios archivos encriptados que jamas habia visto.

    Para terminar las guerra tendran sus heroes que pocas veces sabremos quienes son.

    (Ahora que si dicen que apple sufrio y tal personsa ayudo.. oohhh el gran heroe oohh.. ) … xD

    Responder
    1. tannhausser Autor

      Ahora se porqué tu blog lleva el lema de «realidades alternas desde .GT» y es que hay otros mundos ahí fuera… XD

      Responder
    1. tannhausser Autor

      Subo la apuesta para hacerlo más sencillo todavía:

      En versiones modernas de Ubuntu/Debian
      apt -v

      Versiones antiguas de Ubuntu
      apt-get -v

      Tienes razón en lo de aptitude @Datil ya no está tan moda como antes (creo) y es posible que mucha gente no lo utilice ya.

      Responder
    1. tannhausser Autor

      Si Jennifer Lawrence y Kate upton se acaban pasando a nuestro sistema por lo de iCloud este definitivamente será el año de Linux en el escritorio xD

      Responder
      1. reisilver

        y que están esperando esas minas xd…. que alguien vaya a sus domicilios a evangelizarlas de una vez , con un opensuse estarían felices xd.

        Responder
  2. reisilver

    Ubuntu 10.04 LTS: apt 0.7.25.3ubuntu9.16

    Para ubuntu 10.04 LTS para los servidores que aún tienen esa versión , increíble aunque usted no lo crea xd.

    Responder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.