apt/apt-get中的远程代码执行

Question

最近，apt中发现了允许执行任意代码的漏洞，请参阅这里。

更新系统是合理的吗？或者我们应该担心这个已经被使用了，所以很可能会重新安装？

注意，debian建议更新to

sudo apt update -o Acquire::http::AllowRedirect=false
sudo apt upgrade -o Acquire::http::AllowRedirect=false

正常进行更新是否危险(就像我已经做过的那样-不知道这个问题.)

sudo apt update
sudo apt upgrade 

？

Answer 1

在前面提到的文章之后，该漏洞似乎存在于http重定向中，攻击者可以在易受攻击的APT版本上插入恶意重定向，以下载恶意.deb包并进一步安装它们以感染系统。

此外，以上建议使用AllowRedirect=false只是一个预防措施，如果你怀疑一个网络人在中间。由于您已经更新到最新的版本，虽然使用了正常的方式，我不认为这会造成任何问题。但是，建议始终检查响应消息，以确定APT将安装哪些内容。

最后，Ubuntu在https://wiki.ubuntu.com/Security/Upgrades概述的升级指南中没有提到要使用的任何重定向标志！

干杯!

Answer 2

这个安全漏洞现在已经(快速)修复了debian Jessie、Sid、Buster和Sid。您可以在debian安全跟踪器上检查包的状态。安全更新将通过安全储存库应用。使用Acquire::http::AllowRedirect=false选项升级您的apt版本，然后您可以像往常一样使用apt：apt update。

Debian邮件列表：apt安全更新和每日生活津贴-4371：

具体升级说明:如果在您的情况下不可能使用APT进行升级，则可以使用下面提供的URL手动下载架构的文件(使用wget/curl)，验证散列是否匹配。然后您可以使用dpkg -i安装它们。