O formato de pacotes RPM possuem uma grave falha que coloca o sistema e seus usuários em risco. A descoberta é do pesquisador Dmitry Antipov, um desenvolvedor CloudLinux. A falha de segurança importante no formato do pacote RPM permite que um processo de atualização ou patching seja realizado com as chaves dos referidos pacotes revogadas ou não existentes.
A origem da falha de segurança descoberta no RPM está, surpreendentemente, no início de seu desenvolvimento. O formato do pacote, que é usado pelos Red Hat e derivados (RHEL, CentOS, Fedora, AlmaLinux), SUSE (SLED, SLES e openSUSE) e Mandriva (Mageia, OpenMandriva Lx …), foi lançado em 1995 pelos programadores Marc Ewing e Erik Troan. Eles foram os criadores do RPM. Importante destacar que, naquela época, o importante era que as coisas funcionassem. A segurança, portanto, ficaria em segundo plano. Hoje, esses problemas são graves.
O foco em priorizar o desempenho em relação à segurança fez com que o autor do primeiro commit RPM fosse ‘root’. Assim, a partir do repositório de código, você não pode dizer se a pessoa que fez isso foi Marc Ewing ou Erik Troan.
Grave falha atinge pacotes RPM
Dmitry Antipov identificou o problema pela primeira vez em março de 2021. Antipov descobriu que o RPM funcionaria com pacotes RPM não autorizados. Isso significava que pacotes não assinados ou pacotes assinados com chaves revogadas podiam ser corrigidos ou atualizados silenciosamente sem aviso.
Sendo assim, o RPM nunca verificou corretamente o manuseio da chave do certificado revogado. Especificamente, como o Linux e o desenvolvedor RPM Panu Matilainen explicaram: “A revogação é uma das muitas coisas não implementadas no suporte a OpenPGP do rpm. Em outras palavras, você não está vendo um bug como tal; ele simplesmente não está implementado, muito parecido com a expiração não é.”
A correção
Antipov enviou um patch para corrigir esse problema. Como Antipov explicou em uma entrevista: “O problema é que tanto RPM quanto DNF, [um gerenciador de pacotes de software popular que instala, atualiza e remove pacotes em distribuições Linux baseadas em RPM] fazem uma verificação para ver se a chave é válida e genuína mas não expirou, mas não para revogação. Pelo que entendi, todos os fornecedores de distribuição tiveram a sorte de nunca terem sido atingidos por isso.”
Eles realmente tiveram sorte. Com esta falha nos pacotes RPM, pode ser brincadeira de criança infiltrar malware em um desktop ou servidor Linux.
Via ZDNet