Debian e Ubuntu corrigem falha de segurança

Debian e Ubuntu corrigem falha de segurança

O Projeto Debian e a Canonical lançaram pacotes APT com patches para todas as suas distribuições suportadas. O objetivo é corrigir uma vulnerabilidade de segurança crítica que poderia permitir que atacantes remotos realizassem um ataque man-in-the-middle. Assim, Debian e Ubuntu corrigem falha de segurança.

A vulnerabilidade de segurança foi descoberta por Max Justicz no pacote APT, o gerenciador de pacotes de alto nível usado pelos sistemas operacionais Debian GNU/Linux e Ubuntu. Da mesma forma, qualquer outro derivado, oficial ou não oficial, como o KubuntuLubuntuXubuntu, Ubuntu MATE e até mesmo o popular Linux Mint.

A falha

O problema pode permitir que um invasor remoto engane o APT para instalar pacotes maliciosos que sejam válidos. Porém, esses pacotes poderiam ser usados para execução de código com privilégios administrativos (raiz) após a instalação. Deste modo, o invasor obteria o controle da máquina vulnerável. Mais detalhes estão disponíveis para leitura adicional no CVE-2019-3462.

O código que manipula redirecionamentos HTTP no método de transporte HTTP não limpa adequadamente os campos transmitidos pela rede. Essa vulnerabilidade pode ser usada por um invasor localizado como um intermediário entre o APT e um espelho para injetar conteúdo malicioso em a conexão HTTP, diz o aviso de segurança do Debian.

Todos os usuários Debian e Ubuntu devem atualizar o APT imediatamente

Todos os usuários Debian e Ubuntu, assim como os usuários de quaisquer distros derivadas usando o gerenciador de pacotes APT, devem atualizar suas instalações o mais rápido possível. Assim, as novas versões do APT já estão disponíveis nos principais repositórios de software de suas distribuições GNU/Linux.

A Canonical lançou versões corrigidas do APT para o Ubuntu 18.10 (Cosmic Cuttlefish), o Ubuntu 18.04 LTS (Bionic Beaver), o Ubuntu 16.04 LTS (Xenial Xerus), o Ubuntu 14.04 LTS (Trusty Tahr) e o Ubuntu 12.04 ESM (Precise Pangolin).

Por outro lado, o Projeto Debian lançou pacotes APT com patches para a série “Stretch” do Debian GNU/Linux 9.

Uma atualização padrão do sistema irá resolver o problema. No entanto, o Projeto Debian recomenda que você desabilite redirecionamentos no APT. Isso para evitar a exploração do processo de atualização usando os comandos abaixo. No entanto, se você não puder atualizar o APT sem redirecionamentos, poderá baixar manualmente as versões do APT. Então, para isso, abra um terminal e digite os dois comandos a seguir:

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
Acesse a versão completa
Sair da versão mobile