Vulnerabilidade descoberta, e corrigida, no gerenciador de pacotes APT

mac_malware

A distribuição Debian, bem como suas derivadas Ubuntu e Mint, só para citar algumas, foi surpreendida com a descoberta recente de uma vulnerabilidade em seu sistema de gerenciamento de pacotes APT (Advanced Package Tool).

A falha de segurança foi reportada pelo pesquisador Max Justicz, e consistia na utilização da vulnerabilidade para a execução de código arbitrário, com privilégios administrativos, em qualquer sistema que estivesse instalando qualquer pacote.

Segundo informações oferecidas pela distribuição Ubuntu, em sua página de acompanhamento de bugs, “O APT, iniciando com a versão 0.8.15, decodifica URLs de destino dos redirecionamentos, mas não as verifica por novas linhas, permitindo que atacantes MiTM – Man in The Midle (ou mirrors de repositório) injetem cabeçalhos arbitrários no resultado retornado ao processo principal. Se a URL incorpora hashes do suposto arquivo, ele pode ser usado para desabilitar qualquer validação do arquivo baixado, já que os hashes falsos serão apresentados antes dos hashes certos. “

Isso significa que os hashes originais poderiam ser manipulados por um atacante, fazendo com que aplicações maliciosas fossem aceitas como válidas, graças à comparação com hashes falsos, apresentados via ataque MiTM, visto que estes são utilizados para validar os pacotes baixados, através da comparação entre as strings hash dispostas nas URLs e o resultado apresentado no cálculo hash para os pacotes baixados.

Justicz mostrou que ele poderia inserir um pacote .deb malicioso em um sistema de destino usando o arquivo Release.gpg. Esse arquivo é sempre extraído durante a atualização do APT e geralmente é instalado em um local pré determinado.

Yves-Alexis Perez, um membro da equipe de segurança do Debian, escreveu: “Esta vulnerabilidade pode ser usada por um atacante localizado entre o APT e um mirror para injetar conteúdo malicioso na conexão HTTP. Este conteúdo poderia então ser reconhecido como um pacote válido pelo APT e usado posteriormente para execução de código com privilégios de root no computador de destino. “

Segundo informações contidas no artigo original, disponível no site ZDNet, a falha já foi corrigida junto às distribuições Debian e Ubuntu, para as quais patches de correção para o APT já estão disponíveis. Outras distribuições Debian-like, como a Mint, devem disponibilizar esta correção em suas respectivas estruturas em breve.

Antes de aplicar a correção, o time de segurança da distribuição Debian recomenda desabilitar o redirecionamento de URLs para prevenir a exploração da falha. Para tanto, utilize os seguintes comandos com privilégios administrativos:

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

Eles também avisam que a ação pode “quebrar” a comunicação de alguns proxies para o security.debian.org e, caso ocorra durante a tentativa de atualização, recomenda-se a troca do source para o referido serviço, substituindo o apontamento para: deb http://cdn-fastly.deb.debian.org/debian-security stable/updates main.

Realize os testes necessários para garantir que a atualização de seus sistemas ocorram sem problemas, porém garanta que a ação seja realizada no menor tempo possível, prevenindo que estes sejam explorados com a utilização desta falha.

Anúncios

Vulnerabilidades descobertas no Systemd

System

Como vocês provavelmente já ouviram falar, foram descobertas recentemente três novas vulnerabilidades no Systemd, que é um sistema de inicialização e gerenciador de serviços, utilizado em distribuições GNU/Linux populares como Red Hat e Debian, bem como em algumas destas derivadas.

Pesquisadores ligados à Qualys Inc. descobriram e reportaram as vulnerabilidades, que receberam as designações CVE-2018-16864, CVE-2018-16865, e CVE-2018-16866.

As informações publicadas no site The Hacker News, apontam que distribuições como SUSE Linux Enterprise 15, openSUSE Leap 15.0, e Fedora 28 and 29 não foram afetadas, visto que o código do espaço do usuário é compilado utilizando a opção fstack-clash-protection do GCC, protegendo este espaço contra ataques Stack Clash, que em uma tradução livre seriam ataques de “Colisão de Pilha”.

A vulnerabilidade Stack Clash é relatada pela própria Qualys como sendo uma falha que afeta não só a sistemas GNU/Linux, mas também OpenBSD, NetBSD, FreeBSD e Solaris, tanto em ambientes i386 quanto amd64.

“Cada programa executado em um computador usa uma região de memória especial chamada pilha. Essa região de memória é especial porque cresce automaticamente quando o programa precisa de mais memória de pilha. Mas se crescer muito e ficar muito perto de outra região de memória, o programa pode confundir a pilha com a outra região de memória. Um invasor pode explorar essa confusão para sobrescrever a pilha com a outra região de memória ou vice-versa”, informa o blog da Qualys.

Duas das falhas descobertas recentemente revelam problemas de corrupção de memória, enquanto a terceira expõe um problema de leitura fora do limite no systemd-journald, que pode permitir o vazamento de dados sensíveis da memória do processo em execução.

Os pesquisadores criaram com sucesso provas de conceito que verificam as vulnerabilidades, e planejam liberá-las em um futuro próximo, provavelmente após as falhas terem sido corrigidas e estas correções liberadas ao público.

“Nós desenvolvemos um exploit para a CVE-2018-16865 e a CVE-2018-16866 que obtém um shell local com  privilégios de administrador em 10 minutos em ambientes i386, e em 70 minutos em ambientes amd64, em média”, informaram os pesquisadores.

O CVE-2018-16864 é semelhante a uma vulnerabilidade Stack Clash que os pesquisadores da Qualys descobriram ainda em 2017, e que pode ser explorada por malware, ou por usuários com poucos privilégios, escalando suas permissões para o nível de administrador.

O Systemd não faz parte da distribuição Slackware Linux, que atualmente é disponibilizada em versão estável de número 14.2, mas que utiliza um sistema de inicialização compatível com o System V desde sua versão 7.0.

A recomendação aos usuários e administradores de sistemas, sendo estes afetados ou não pelas vulnerabilidades descobertas, é a de sempre acompanhar a disponibilização de atualizações de segurança, liberadas pela equipe de desenvolvimento do sistema operacional utilizado, ou administrado, e aplicar estas correções tão logo estejam disponíveis.

A realização de backups de segurança dos dados pessoais constantes nestes sistemas deve ser uma rotina, e evita que atualizações problemáticas, ou mesmo causas diversas, gerem a perda de dados.

Como complemento oferecido por um dos profissionais que acompanham o blog, Deiverson Silveira, segue o link para o comunicado oficial a respeito das vulnerabilidades, e publicado pelos pesquisadores da Qualys.

Slackware Linux 14.2 – Instalando a LibreOffice 6.1.3!

libreoffice

Como é sabido por aqueles que acompanham a jornada desta distribuição, a Slackware Linux conta com um time de desenvolvedores que, além de contribuírem para a manutenção dos pacotes oficiais da distro, em alguns casos também colaboram disponibilizando aplicações extras, alheias às distribuídas nos DVDs e CDs oficiais.

Entre esses desenvolvedores/colaboradores, um dos mais conhecidos por suas contribuições é o Eric Hameleers, vulgo AlienBob, que mantêm atualizados pacotes como os gerenciadores de janelas KDE e XFCE, pacote Multilib para a compatibilidade com aplicações 32 bits, além de ser o idealizador e mantenedor da Slackware Live Edition, versão live DVD da Slackware Linux, disponibilizada em imagens com diversos ambientes gráficos como MATE, XFCE ou KDE.

Através de seu blog, Alien Pastures, o Eric procura disponibilizar essas aplicações adicionais, bem como compartilhar notícias sobre a Slackware Linux, ou mesmo suas ideias e pensamentos sobre software livre ou assuntos em geral. Entre as aplicações disponibilizadas por ele, para a nossa amada distribuição, encontramos a suíte office LibreOffice.

Embora a Calligra Suite seja o conjunto de aplicativos para escritório distribuído oficialmente, junto à Slackware Linux, a popularidade da LibreOffice fez com que o Eric providenciasse a conversão dos pacotes oficiais para essa distribuição. Originalmente, os pacotes ofertados no site oficial da LibreOffice são apenas para distribuições Debian like, como a Ubuntu e suas variantes, ou Red Hat like, como a CentOS, além de instaladores para ambientes proprietários em Windows ou MacOS.

A aplicação já foi liberada em sua versão 6.1.4, porém o próprio site oficial da mesma não recomenda a sua utilização em ambientes de produção, por ser uma versão voltada para entusiastas de tecnologia, ou usuários avançados, que ajudam em seu desenvolvimento.

O Eric liberou recentemente os pacotes de instalação da versão 6.1.3, tecnicamente mais estáveis que a versão mais recente da aplicação. Para a mais recente versão estável da Slackware Linux (14.2), seguem os links para o download dos pacotes de instalação:

64 bits

LibreOffice 6.1.3 – Pacote principal

LibreOffice 6.1.3 – Pacote de tradução para o português brasileiro

LibreOffice 6.1.3 – Pacote de integração com o ambiente KDE

LibreOffice 6.1.3 – Dicionário português brasileiro

32 bits

LibreOffice 6.1.3 – Pacote principal

LibreOffice 6.1.3 – Pacote de tradução para o português brasileiro

LibreOffice 6.1.3 – Pacote de integração com o ambiente KDE

LibreOffice 6.1.3 – Dicionário português brasileiro

Também foram disponibilizados pacotes de instalação para as versões 14.1 e -current da Slackware Linux, porém, como acredito que a maioria das pessoas que usam a distribuição, optam por utilizar a mais recente versão estável, disponibilizei os links diretos apenas para a versão 14.2.

Caso utilizem uma das outras duas versões disponíveis, os pacotes para elas podem ser encontrados neste repositório, de onde inclusive foram retirados os links para as versões 14.2 de 32 bits ou 64 bits, postados neste artigo.

Depois de baixados, para realizar a instalação dos pacotes, utilizem uma sessão do terminal, com privilégios de administrador e, a partir do diretório onde estes se encontram, executem o comando “installpkg” seguido do nome do pacote ou, caso estes sejam os únicos pacotes com extensão .txz no local, podem instalar a todos com um único comando: “installpkg .txz“.

Caso já possuam uma versão anterior da LibreOffice em sua Slackware Linux, utilizem então o comando “upgradepkg” seguido do nome do pacote, isso fará com que o pacote instalado anteriormente seja atualizado, removendo em seguida a versão antiga deste.

Outra opção, para aqueles que já dispõem do plugin slackpg+ instalado, e com o repositório do Eric habilitado, é utilizar a ferramenta slackpg para instalar ou atualizar a LibreOffice.

Para tanto, também em um terminal e com privilégios administrativos, utilizem os comandos “slackpkg update“, para atualizar a lista de pacotes junto aos repositórios, “slackpkg install libreoffice“, caso optem por instalar a LibreOffice, sendo necessária a seleção do que não desejam que seja instalado, desmarcando pacotes quando da visualização da lista dos disponíveis, evitando assim a instalação de dicionários e linguagens que não sejam referentes ao português brasileiro, ou ainda “slackpkg update libreoffice“, se desejarem atualizar os pacotes de uma versão previamente instalada.

Neste último caso, como os pacotes a serem instalados já foram selecionados durante a instalação anterior, durante esta atualização o slackpkg não mais mostrará a lista completa de pacotes vinculados à aplicação, atualizando apenas os que já estão instalados no sistema.

Por enquanto é só pessoal. Até a próxima!