Bezpieczniej z Debian GNU/Linux 9.7 Stretch

Chyba żaden użytkownik dystrybucji linuksowych nie cieszy się tak na aktualizacje jak użytkownicy Debiana. Szczególnie jeśli jest to seria poprawek do stabilnej wersji która jest z nami od pewnego czasu. Debian GNU/Linux 9.7 to bowiem stary dobry Stretch świecący nowym blaskiem.

Ale najciekawsza w tej całej historii jest geneza tego wydania. Wszyscy bowiem znamy menedżer pakietów APT, ale nieco mniej użytkowników jest świadomych odkrytej niedawno podatności CVE-2019-3462. A jest to sposób na zaaplikowanie niczego nie świadomemu użytkownikowi złośliwego kodu. Oczywiście pod pozorem zwykłej i standardowej aktualizacji. Jak to działa?

APT od wersji 0.8.15 radzi sobie z adresami URL przekierowań, ale nie wykonuje testów znaków specjalnych, np. znaku końca linii. To umożliwia osobom które przechwycą taką transmisję (Man in The Middle) przekazania do naszego menedżera pakietów swoich własnych nagłówków. Nie trzeba chyba wyjaśniać jakie możliwości to stwarza. Aby zobrazować grozę odkrycia, wyobraźmy sobie instalację przeglądarki Firefox która pociąga za sobą instalację setek innych pakietów. Które mogą zawierać cokolwiek.

Stosowne łatki już się ukazały. Paczki apt 1.4.9 (Stretch), apt 1.0.9.8.5 (Jessie) i nowe apt 1.8.0 nie dają już szans nikomu kto czyha i nastaje na nasz system operacyjny. Na pocieszenie należy dodać, że poprawek doczekały się już inne dystrybucje debianopochodne. Dla Ubuntu, Minta pozbawiona powyższej przypadłości jest paczka apt 1.6.6ubuntu0.1 (Ubuntu LTS Bionic, Mint 19.xx).

Aby nie pozostawić żadnych złudzeń, wydano również nowy obraz instalacyjny Debian 9.7 Stretch . I to właśnie opisana powyżej poprawka stanowi jedyną zmianę w tej wersji. Bezpieczeństwo nade wszystko.