Un méchant bug de sécurité identifié et corrigé dans Linux apt

L'informatique avec les logiciels libre c'est génial
Avatar du membre

Auteur du sujet
Coddy
Administrateur du site
Administrateur du site
France
Messages : 510
Enregistré le : lun. 2 sept. 2013 10:44
Montant en poche : Fermé
Banque : Fermé
 
Relax-Arcade :  9
Localisation : Tout près de toi ...
Envoyer le rappel de Prediction Ligue à la première adresse email : No
Envoyer le rappel de Prediction Ligue à la deuxième adresse email : No
    Windows 10 Firefox
Genre :
Zodiaque :
Contact :
Statut : Hors ligne

Un méchant bug de sécurité identifié et corrigé dans Linux apt

Message non lu par Coddy » jeu. 24 janv. 2019 19:25

Un méchant bug de sécurité identifié et corrigé dans Linux apt

Sécurité : L'un des principaux programmes d'installation de Linux, apt, s'est récemment avéré embarquer une grave faille de sécurité. C'est à présent patché. Les utilisateurs Linux doivent installer le correctif au plus vite.

Image

Si vous voulez installer un programme sur la famille de distributions Debian/Ubuntu/Mint Linux, vous utilisez presque toujours le programme d'installation de logiciels Advanced Package Tool (apt). Il fonctionne bien, mais le chercheur en sécurité Max Justicz a récemment trouvé une façon déplaisante de lancer une attaque de type man-in-the-middle sur apt.

Pire, Justicz a découvert que la vulnérabilité permettrait à un attaquant distant d'exécuter du code arbitraire en tant que root sur n'importe quel système installant n'importe quel paquet. Pour comprendre la gravité de l'attaque, vous devez comprendre comment apt fonctionne.
Falsifier des données pour installer un paquet malveillant

Apt est un frontal du système dpkg. Ce système est une base de données de "paquets" dont les fichiers doivent être installés pour qu'un programme, tel que Firefox, fonctionne. Avec apt, vous pouvez trouver et installer de nouveaux programmes, mettre à jour des programmes, supprimer des programmes et mettre à jour votre base de données locale dbkg.

Jusqu'ici, tout va bien. Mais, quand apt installe un nouveau programme ou met à jour un programme existant, il ne vérifie pas les problèmes éventuels au niveau de l'Uniform Resource Identifier (URI) d'un paquet. Au lieu de cela, il compare simplement les hachages de sécurité PGP renvoyés par la réponse URI Done avec les valeurs du manifeste du paquet signé.

Mais, comme l'attaquant "man-in-the-middle" contrôle les hachages signalés, il peut les falsifier pour donner l'impression qu'un paquet malveillant semble au contraire légitime.

Comme l'indique le message de sécurité d'Ubuntu apt, "apt, à partir de la version 0.8.15, décode les URL cibles des redirections, mais ne les vérifie pas pour les nouvelles lignes, permettant aux attaquants MiTM (ou miroirs de dépôts) d'injecter des en-têtes arbitraires dans le résultat retourné au processus principal. Si l'URL incorpore des hachages du fichier supposé, elle peut donc être utilisée pour désactiver toute validation du fichier téléchargé, car les faux hachages seront pré-placés devant les bons hachages."

Justicz a montré qu'il pouvait pousser un fichier .deb malveillant dans un système cible en utilisant le fichier Release.gpg. Ce fichier est toujours extrait lors de la mise à jour d'apt et est généralement installé dans un emplacement prévisible.

Justicz a démontré que cela peut être aussi évident que :

<oops.deb contents>
-------DÉBUT SIGNATURE PGP---------
...
-----END PGP SIGNATURE---------

Et tout ce à quoi "oops" correspond sera installé.

Il a également indiqué que, "par défaut, Debian et Ubuntu utilisent tous deux des dépôts http simples et prêts à l'emploi". Bien qu'il y ait un vif débat sur la question de savoir si les https plus sûres ont réellement amélioré la sécurité d'apt, Justicz a son opinion sur le sujet : "Je n'aurais pas pu exploiter le Dockerfile en haut de ce message si les serveurs de paquets par défaut avaient utilisé https."
Correctifs pour Debian et Ubuntu

Alors, est-ce réellement grave ? Cela l'est.

Yves-Alexis Perez, membre de l’équipe de sécurité de Debian, a écrit: "Cette vulnérabilité pourrait être utilisée par un attaquant situé en interception entre APT et un miroir afin d’injecter du contenu malveillant dans la connexion HTTP. Ce contenu pourrait alors être reconnu comme un paquet valide par APT et utilisé ultérieurement pour l’exécution de code avec les privilèges root sur la machine cible."

Aussi dommageable que puisse être ce bug, les correctifs sont déjà disponibles pour Debian et Ubuntu. Des correctifs seront bientôt accessibles pour Mint et d’autres distributions Linux basées sur Debian/Ubuntu. Lorsque vous corrigez apt, l’équipe de sécurité Debian vous recommande de prendre des mesures.

Désactivez les redirections afin d'empêcher l'exploitation, avec les commandes suivantes en tant que root :

Code : Tout sélectionner

apt -o Acquire::http::AllowRedirect=false update
     apt -o Acquire::http::AllowRedirect=false upgrade
La mauvaise nouvelle à présent : "Ceci est connu pour casser certains serveurs proxy lorsqu’il est utilisé à la place de security.debian.org. Si cela se produit, les utilisateurs peuvent faire passer leur source de sécurité APT pour utiliser la suivante : deb http://cdn-fastly.deb.debian.org/debian-security stable/updates main."

Donc, tant que vous agissez rapidement pour mettre à jour vos systèmes, cette nouvelle faille de sécurité ne devrait pas poser de problème. Cela dit, il ne faudra pas tarder trop longtemps. Cette vulnérabilité sera exploitée. C'est juste une question de temps.

Article "Nasty security bug found and fixed in Linux apt" traduit et adapté par ZDNet.fr
La rapidité et la fiabilité de votre site internet chez Wantété Hébergeur Français Banane.5.gif
---
Votre site et forum à 0 €/mois sans pub ni conditions. Banane.30.gif *v* [banane.16.gif

Répondre

Last 30 Members Who Visited This Topic

Coddy