The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в пакетном менеджере pacman, позволяющая выполнить код в ходе MITM-атаки

13.03.2019 09:14

В пакетном менеджере pacman, применяемом в дистрибутиве Arch Linux, выявлена уязвимость (CVE-2019-9686), позволяющая добиться выполнения кода с правами root в момент установки пакета, в случае контроля атакующим зеркала репозитория или транзитного трафика жертвы (например, при подключении пользователя через сетевой шлюз, VPN или беспроводную точку доступа, подконтрольные атакующему). Проблема устранена в обновлении pacman 5.1.3-1.

Уязвимость напоминает недавно выявленную проблему в пакетном менеджере APT и также связана с возможностью подмены определённых полей в HTTP-ответах. В Arch Linux, как и большинстве других дистрибутивов, обращение к репозиториям может осуществляться по HTTP без шифрования трафика, но с применением верификации целостности и источника пакета по цифровой подписи. При установке пакета при помощи команды "pacman -U" с указанием URL, атакующий может подменить имя файла, передаваемое через HTTP-заголовок "Content-Disposition".

Пакетный менеджер pacman использует передаваемое в заголовке "Content-Disposition" значение для переименования полученного файла без должной проверки его корректности и без вырезания символов "../" из файлового пути. Переименование выполняется на стадии до проверки данных по цифровой подписи. Атакующий может поменять имя файла на строку вида "../../usr/share/libalpm/hooks/evil.hook" и добиться размещения своего файла в любой части файловой системы. Подобная манипуляция приведёт к выводу ошибки из-за невозможности найти файл в каталоге с кэшем пакетов, но скопированный файл останется в системе.

  1. Главная ссылка к новости (https://security.archlinux.org...)
  2. OpenNews: Выпуск пакетного менеджера Pacman 5.0
  3. OpenNews: Уязвимость в пакетном менеджере APT, позволяющая обойти проверку пакетов
  4. OpenNews: Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера
  5. OpenNews: Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux
  6. OpenNews: Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: pacman, archlinux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Fracta1L (ok), 11:04, 13/03/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    Если у меня https-зеркало - можно спать спокойно?
     
     
  • 2.3, Аноним (3), 11:05, 13/03/2019 [^] [ответить]    [к модератору]
  • +/
    >в случае контроля атакующим за за зеркалом репозитория
     
  • 1.2, Аноним (3), 11:05, 13/03/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +18 +/
    Затмевает apt даже по удобству использования уязвимостей. Вот что значит хороший пакетный менеджер.
     
     
  • 2.9, Аноним (9), 12:50, 13/03/2019 [^] [ответить]     [к модератору]
  • +3 +/
    Пока не затмевает Pacman даже не проверяет динамическую линковку, в результате ... весь текст скрыт [показать]
     
     
  • 3.31, Anonimus (??), 18:31, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Это не проблема pacman - проблема в майнтейнере который собирал пакет и не корректно указал зависимости. зависимости он проверяет корректно и их можно указать гибко.
     
     
  • 4.33, Аноним (33), 19:00, 13/03/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Выполнять обезянью работу по определению ABI, на который завязан пакет, должен н... весь текст скрыт [показать]
     
     
  • 5.34, Аноним (33), 19:03, 13/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Особенно рекомендую обратить внимание на отслеживание версий символов в тех либах, где такое версионирование есть (nss, glibc). Руками такое делать нереально.
     
     
  • 6.45, граммарнаци (?), 06:43, 14/03/2019 [^] [ответить]    [к модератору]  
  • +/
    В таком случае это проблема не менеджера пакетов, а тулкита для сборки пакетов
     
  • 5.36, Anonimus (??), 19:23, 13/03/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    Смотри, есть дистрибутив для которого делаются пакеты, есть майнтейнер который с... весь текст скрыт [показать]
     
  • 1.4, grayich (ok), 11:14, 13/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > позволяющая добиться выполнения кода с правами root в момент установки пакета, в случае контроля атакующим за за зеркалом репозитория или транзитным трафиком жертвы (например, при подключении пользователя через сетевой шлюз, VPN или беспроводную точку доступа, подконтрольные атакующему).

    после прочтения осталось ощущение, что ещё нужно полнолуние, без него не сработает.

     
     
  • 2.5, Аноним (5), 11:31, 13/03/2019 [^] [ответить]     [к модератору]  
  • +5 +/
    Ваш скепсис не в тему Эта атака действительно проста и банальна, в случае, если... весь текст скрыт [показать]
     
     
  • 3.6, grayich (ok), 11:51, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    имхо - для обычных юзверей нет смысла, а тому кому есть смысл.. тот ССЗБ если не имеет специальных процедур, проверок и т.п. по безопасности, да и арч в этом случае вряд ли будет.
     
  • 3.12, Аноним (12), 13:24, 13/03/2019 [^] [ответить]     [к модератору]  
  • –4 +/
    справедливости ради данная атака не существует сама по себе, чтобы она сработала... весь текст скрыт [показать]
     
     
  • 4.13, анонн (?), 13:56, 13/03/2019 [^] [ответить]    [к модератору]  
  • +7 +/
    > pacman
    > арч
    > проще говоря мамкины хакеры будут изначально в пролете

    да и «ворон ворону глаз не выклюеет»


     
     
  • 5.37, Аноним (12), 19:27, 13/03/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    часть нити восстановлена Aнонимом админ имей совесть, я тут обиженного лечу ... весь текст скрыт [показать]
     
     
  • 6.39, анонн (?), 19:42, 13/03/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Не знаю Придумай сам, сам же оспорь придуманное У тебя это очень неплохо получ... весь текст скрыт [показать]
     
     
  • 7.42, Аноним (12), 20:14, 13/03/2019 [^] [ответить]     [к модератору]  
  • +/
    о, пошли отмазки, пока не очень, но старайся молодец, и ты хотел кого-то этим ... весь текст скрыт [показать]
     
  • 1.10, Аноним (10), 12:59, 13/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Вот под арм нет арча вроде как, весьма чувствительный минус
     
     
  • 2.11, Аноним (12), 13:12, 13/03/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    archlinuxarm.org
     
     
  • 3.15, Аноним (10), 14:12, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    О, таки есть порт, тогда топово, спасибо
     
  • 1.22, Аноним (22), 17:20, 13/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Ждём аналоги в pkg, да в emerge. Поискать чтоль.
     
     
  • 2.38, анонн (?), 19:35, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > Ждём аналоги в pkg, да в emerge. Поискать чтоль.

    дарю:
    [code]
    pkg add [-IAfMq] <protocol>://<path>/<pkg-name> ...
    Currently supported protocols are FTP, HTTP and HTTPS.
    [/code]

     
  • 1.41, Аноним (41), 20:11, 13/03/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Это должно быть заботой HTTP-клиента... весь текст скрыт [показать]
     
     
  • 2.44, X4asd (ok), 22:06, 13/03/2019 [^] [ответить]    [к модератору]  
  • +/
    в нём и ошибка
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor