apt “apt-key” kulcs hitelesítés sérülékenység – Nemzeti Kiberbiztonsági Intézet

NBSZ-NKI website

apt “apt-key” kulcs hitelesítés sérülékenység

2011. szeptember 26. 08:08

CH azonosító

CH-5624

Angol cím

apt "apt-key" Key Verification Security Issue

Felfedezés dátuma

2011.09.22.

Súlyosság

Érintett rendszerek

Érintett verziók

apt 0.x

Összefoglaló

Az apt egy sérülékenységét jelentették, amit kihasználva a támadók megkerülhetnek egyes biztonsági korlátozásokat.

Leírás

A sérülékenység oka, hogy az “apt-key” script “net-update” parancsa nem megfelelően ellenőrzi a letöltött kulcsokat. Ezt kihasználva, hamis kulcsokat lehet telepíteni középreállásos (MitM – Man-in-the-Middle) támadás segítségével, ami lehetővé teszi, hogy a támadó saját maga által készített csomagokat telepítsen a rendszerre.

A sérülékenység kihasználásához szükséges, hogy az apt támogassa ezt a parancsot (pl. a kulcstároló URI be legyen állítva).

Megoldás

Ne használja a “net-update” parancsot! Manuálisan ellenőrizze a telepített kulcsokat!

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: archives.neohapsis.com
SECUNIA 46046

Legfrissebb sérülékenységek

CVE-2023-41974 – Apple iOS and iPadOS Use-After-Free sérülékenység

CVE-2021-30952 – Apple Multiple Products Integer Overflow or Wraparound sérülékenység

CVE-2023-43000 – Apple Multiple products Use-After-Free sérülékenység

CVE-2021-22681 – Rockwell Multiple Products Insufficient Protected Credentials sérülékenység

CVE-2017-7921 – Hikvision Multiple Products Improper Authentication sérülékenység

CVE-2026-27636 – FreeScout sérülékenysége

CVE-2026-28289 – FreeScout sérülékenysége

CVE-2026-21385 – Qualcomm integer overflow sérülékenysége

CVE-2026-26935 – Kibana sérülékenység

CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység

Tovább a sérülékenységekhez »

Ugrás a tetejére