Linux APT 曝出 HTTP 重定向内容注入漏洞

已经不能算是“新”闻了,但还是稍微写一下,大家注意一下吧。

Linux 上著名的包管理工具 APT 曝出严重安全漏洞 CVE-2019-3462,描述为 Content injection in APT http method when using redirects,可使中间人(或者恶意镜像源本身)利用 HTTP 重定向于正执行安装更新操作的机器上(以 root 权限)执行任意代码。使用 APT 的发行版包括但不限于 Debian 和 Ubuntu,均受影响。

目前漏洞已被紧急修复。各位应更新 APT 相关程序。

由于漏洞正影响了 APT,应当临时禁用重定向(也只需要这次禁用重定向),即执行下列命令进行更新操作:

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

这可能会影响一些代理程序,或者还有其他特殊情况。如有问题,可以自行阅读 Debian Security Advisory 页面。

附上 ZDNet 新闻报道链接:Nasty security bug found and fixed in Linux apt(英文)。

若无特别说明,本文系原创,遵循 署名-非商业性使用 3.0 (CC BY-NC 3.0) 协议,转载文章请注明来自【闪星空间】,或链接上原文地址:http://shansing.com/read/472/

发表评论»

NO SPAMS! 不要发垃圾评论哦!

表情