Vulnerabilidades en el gestor de paquetes APT

APT y logo de Debian

Linux va de la mano con la palabra seguridad, pero eso no significa que sea perfecto y que no se detecten vulnerabilidades en ocasiones. Ya hemos reportado algunas en este blog y ahora os comunicamos una nueva. Esto no es una intención de minar la reputación Linux, sino poner en conocimiento de sus usuarios el problema para que tengan cuidado. Desgraciadamente ahora anunciamos uno de estos casos con APT como protagonista.
Otros desarrolladores tratan de ocultar las vulnerabilidades hasta que ocurren incidentes graves, como lo ocurrido con iCloud de Apple y el robo de fotos desnudas de multitud de famosas y probablemente datos comprometidos de otros usuarios.
Así que debes saber que el gestor de paquetes APT de las distro que emplean esta herramienta, como Debian y derivados, como Ubuntu (y sus derivados). La vulnerabilidad solo se da con el uso de ciertos parámetros de APT. Este problema hace que el sistema tome la información sobre la firma de autenticidad como correcta en todo caso.
Eso podría hacer que piratas informáticos distribuyeran malware en paquetes de aplicaciones conocidas modificadas e incluso realizar ataques MITM para infectar paquetes en el trayecto del servidor original al equipo destinatario.
No te preocupes, puesto que los desarrolladores de las distribuciones afectadas se han puesto a la obra y han creado parches que solucionan el problema. Sin embargo, puedes actualizarlo de manera manual desde el terminal con:

sudo apt-get update
sudo apt-get upgrade

Si no estás seguro de si cuentas con la última versión segura de APT, puedes usar:

sudo aptitude show apt

De todas formas, si nuestra versión es igual o superior a estas que presento a continuación, no debería haber problemas:

  • Ubuntu 14.04 – apt 1.0.1ubuntu2.3
  • Ubuntu 12.04 – apt 0.8.16-exp12ubuntu10.19
  • Debian Wheezy – apt 0.9.7.9+deb7u3
  • Debian Sid – apt 1.0.9

Escribe un comentario