요약
- 메이저 리눅스 배포판에서 많이 사용되는 Advanced Package Tool(APT) 패키지에 원격코드 실행 취약점 존재.
*APT : 데비안, 우분트를 포함한 다양한 리눅스 배포판에 소프트웨어 설치, 업데이트, 삭제를 담당하는 유틸리티.
HTTP 리다이렉션은 apt-get 명령어가 리눅스 머신이 미러 가능한 서버에 자동으로 패키지를 요청하는 동안 발생.
1번째 서버가 실패할 시, apt는 클라이언트가 다음으로 패키지를 요청해야 할 서버 주소를 응답 값으로 돌려 줌.
- 취약점 : 공격자는 APT 유틸리티와 미러 서버간의 HTTP 트래픽을 가로채 악성 코드 삽입이 가능하며 시스템에 변조된 패키지를 설치하고 root 권환으로 임의의 코드를 실행하도록 할 수 있음
- 취약원인 : HTTP 리다이렉션 과정 중 특정 파라미터에 대한 부적절한 검증 발생
- 영향 받는 제품: Debian, Ubuntu
- 대응방안 : 최신 APT 패키지 (1.4.9 이상 버전)으로 업그레이드
(취약점이 패키지 메니저 자체에 존재 하기 때문에, 업그레이드 중 피해를 막기 위해 아래의 명령어를 이용해 리다이렉트를 disable 할 것을 권고)
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
관련 CVE정보
- CVE-2019-3462
- CVSS 3.0 score : 8.1
- PoC : https://justi.cz/security/2019/01/22/apt-rce.html
참고자료
출처 : https://thehackernews.com/2019/01/linux-apt-http-hacking.html
https://www.bleepingcomputer.com/news/security/remote-code-execution-bug-patched-in-apt-linux-package-manager/