研究人员 Max Justicz 日前发现了知名 Linux 包管理器 apt/apt-get 中的远程代码执行漏洞,该漏洞允许外部进行中间人攻击并以 root 权限以执行任何代码。该漏洞已在最新版本 apt 修复,如果担心在升级过程中遭到攻击,可以在更新时禁用 HTTP 重定向功能进行安全升级:
$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false
漏洞背景:
在获取数据时,apt会fork出专门用于数据传输的worker进程。父进程使用有点像HTTP的协议通过stdin/stdout与这些worker进程进行通信,告诉它们下载什么以及将下载的内容放在文件系统的什么位置上。
当HTTP服务响应一个重定向时,woker进程会返回103 Redirect 而不是201 URI Done,接下来父进程使用这个响应来确定下一步应该请求的资源:
103 Redirect
URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb
New-URI: http://example.com/new-uri
漏洞详情:
对HTTP Location报头进行url解码并把解码后的内容没有进行任何校验,盲目地拼接到103 Redirect的响应上:
// From methods/basehttp.cc
NextURI = DeQuoteString(Req.Location);
...
Redirect(NextURI);
// From apt-pkg/acquire-method.cc
void pkgAcqMethod::Redirect(const string &NewURI)
{
std::cout << "103 Redirect\nURI: " << Queue->Uri << "\n"
<< "New-URI: " << NewURI << "\n"
<< "\n" << std::flush;
Dequeue();
}
如果HTTP服务发送
Location: /new-uri%0AFoo%3A%20Bar
返回的响应为:
103 Redirect
URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb
New-URI: http://deb.debian.org/new-uri
Foo: Bar