研究人员Max Justicz日前发现了知名Linux包管理器apt/apt-get中的远程代码执行漏洞，该漏洞允许外部进行中间人攻击并获取root权限以执行任何代码。该漏洞已在最新版本apt修复，如果担心在升级过程中遭到攻击，可以使用以下代码关闭HTTP重定向功能进行安全升级：

$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false

该漏洞代号为CVE-2019-3462，其原因是apt中默认使用HTTP进行通信，而其transport方法中处理HTTP重定向的代码未能正确审查传输的字段。攻击者通过中间人攻击劫持后，使用伪造签名骗过该检查，即可在用户主机上安装攻击者安排的任意程序，并因为apt已经获取root权限，该恶意程序可在root权限下执行。详细情况及演示可以阅读Max Justicz的博文。

如今，HTTPS早已普及，甚至如谷歌、苹果等平台强制要求开发者使用HTTPS，但apt因为其安装包有签名机制，在此前我们认为安装包是无法伪造的，因此并没有默认启用HTTPS，甚至专门有人建了一个网站来论证为什么apt不需要使用HTTPS。不过，Max指出，早在16年就有类似的漏洞爆出，虽然HTTPS也并不能解决恶意镜像源的问题，但HTTP暴露的攻击面要广得多。

此漏洞影响范围极为广泛，所有使用apt老版本的主机都暴露在攻击之下，特别是将apt作为默认包管理器的Ubuntu，从14.04 LTS到最新的18.10版本均受到影响。

两个使用apt最多的Linux发行版Ubuntu和Debian已分别发布安全公告（Ubuntu公告、Debian公告），督促用户升级。

创作场景

Linux 包管理器 apt/apt-get 发现远程代码执行漏洞