Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Debian: risolti i problemi di sicurezza con APT

Debian 9.7 risolve alcuni vulnerabilità individuate nelle versioni precedenti.
Debian: risolti i problemi di sicurezza con APT
Debian 9.7 risolve alcuni vulnerabilità individuate nelle versioni precedenti.
Link copiato negli appunti

Il team della distribuzione universale ha rilasciato una nuova maintenance release: Debian 9.7. L'obbiettivo di questa build è distribuire nuovi file ISO insieme alle patch che correggono i problemi di sicurezza recentemente emersi con APT, il gestore di pacchetti utilizzato dalla piattaforma.

Queste falle, scoperte dall'esperto di sicurezza Max Justicz, permettevano l'esecuzione di attacchi man-in-the-middle in cui un utente malintenzionato avrebbe potuto ritrasmettere o alterare i contenuti delle comunicazioni.

Tale tipologia di attacchi viene quindi strutturata in modo da intromettersi in uno scambio di dati ritenuto sicuro e agendo sulle informazioni scambiate tra i due utenti.

Fino alla soluzione introdotta con Debian 9.7 era possibile spingere gli utenti ad installare software malevolo tramite APT, ciò in modo da ottenere privilegi root ed arrivando ad infettare l'intero sistema.

Questo era possibile perché il codice che gestisce i redirect HTTP non eseguiva un controllo preventivo sui dati trasmessi. Fortunatamente la vulnerabilità è stata individuata e il team di Debian e quello di Ubuntu hanno già distribuito gli aggiornamenti necessari tramite i normali canali di update. Gli utenti che ancora non l'hanno fatto sono dunque invitati ad aggiornare il prima possibile la propria installazione.

Questo problema di sicurezza apre una discussione molto più ampia che prosegue da tempo all'interno della community Debian. Per scelta diretta dei responsabili del progetto vengono usati infatti dei repository HTTP, senza sfruttare un certificato di sicurezza TLS durante le comunicazioni.

Questo di base non dovrebbe essere un problema visto che i package manifest usano una chiave specifica per essere identificati, eppure i bug di sicurezza non mancano e probabilmente implementare un sistema di repository sotto HTTPS contribuirebbe a migliorare la sicurezza generale degli utenti.

Ufficialmente il supporto esiste già ed è possibile sfruttare il pacchetto apt-transport-https per utilizzare repository HTTPS, ma senza un impegno formale da parte del team di Debian o di Ubuntu sarà difficile che questa soluzione venga adottata su larga scala da tutti gli utenti.

Via Debian

Ti consigliamo anche