ក្រុមអ្នកជំនាញការសន្ដិសុខនៅសប្តាហ៍នេះប្រឆាំងនឹង Twitter ដោយមិនប្រើ HTTPS និងស្នើឱ្យអ្នក អភិវឌ្ឍន៍កម្មវិធីផ្អែកលើការផ្ទៀងផ្ទាត់ដែលមានមូលដ្ឋានលើហត្ថលេខា (signature-based) ប៉ុណ្ណោះ ដោយសារតែ APT នៅលើ Linux ក៏ដូចគ្នាដែរ។ នៅថ្ងៃនេះអ្នកស្រាវជ្រាវបង្ហាញព័ត៌មានលំអិតអំពីកំហុសឆ្គងនៃដំណើរការកូដដ៏សំខាន់នៅក្នុង Linux APT ការវាយប្រហារអាចត្រូវបានកាត់បន្ថយប្រសិនបើអ្នកគ្រប់គ្រងទាញយកកម្មវិធីដោយប្រើ HTTPS ដើម្បីទំនាក់ទំនង។
ការរកឃើញដោយ Max Justicz ភាពងាយរងគ្រោះ (CVE-2019-3462) ស្ថិតនៅក្នុងកម្មវិធីគ្រប់គ្រង APT ដែលជាឧបករណ៍ប្រើប្រាស់គ្រប់គ្រងការដំឡើងនិងធ្វើបច្ចុប្បន្នភាព កម្មវិធីលើ Debian, Ubuntu និងការបែងចែក Linux ផ្សេងទៀត។
យោងតាមការចេញផ្សាយដោយ Justicz បានអោយដឹងថា APT ងាយរងគ្រោះ មិនត្រឹមត្រូវក្នុងការផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រជាក់លាក់ណាមួយក្នុងអំឡុងពេលប្តូរ HTTP ដែលធ្វើឱ្យអ្នកវាយប្រហារជាមនុស្សនៅចំកណ្តាលពីចម្ងាយចូលទៅក្នុងមាតិកាដែលមានគ្រោះថ្នាក់ និងតំឡើងផ្នែកដែលបានកែប្រែ។ ការបញ្ជូនបន្ត HTTP ខណៈពេលដែលប្រើពាក្យបញ្ជា apt-get ជួយម៉ាស៊ីន Linux សុំដោយស្វ័យប្រវត្តិពីម៉ាស៊ីនមេ mirror ខណៈពេលអ្នកផ្សេងមិនអាចចូលបាន។ ប្រសិនបើម៉ាស៊ីនមេបរាជ័យ វានឹងប្រាប់ពីទីតាំងម៉ាស៊ីនមេបន្ទាប់ដែលម៉ាស៊ីនភ្ញៀវគួរតែស្នើសុំ។
“ជាអកុសលដំណើរការ HTTP fetcher URL – decodes header HTTP ទីតាំង និងជាផ្នែកបន្ថែម ដែលមិនច្បាស់លាស់ទៅជាការឆ្លើយតបប្តូរទិស 103 វិញ”។ដូចដែលបានបង្ហាញដោយអ្នកស្រាវជ្រាវនៅក្នុងវីដេអូអ្នកវាយប្រហារស្ទាក់ដំណើរការ HTTP រវាង ឧបករណ៍ប្រើប្រាស់ APT និងម៉ាស៊ីន mirror server ឬគ្រាន់តែជា malicious server ដែលអាចបង្កើតកូដនៅលើប្រព័ន្ធគោលដៅដែលមានសិទ្ធិខ្ពស់បំផុតដូចជា root, Justicz បានប្រាប់ ព័ត៌មាន Hacker។
លោក Justicz បានប្រាប់ THN ថា: “អ្នកអាចជំនួស package ដែលបានស្នើទាំងស្រុងដូចនៅក្នុងគំនិត របស់ខ្ញុំ។ អ្នកអាចជំនួស package ដែលបានកែប្រែផងដែរប្រសិនបើអ្នកចង់”។
ទោះបីជា Justicz មិនបានសាកល្បងក៏ដោយ ក៏គាត់ជឿជាក់ថាភាពងាយរងគ្រោះនេះប៉ះពាល់ដល់ ការទាញយក package ទាំងអស់ ទោះបីជាអ្នកកំពុងដំឡើងpackageជាលើកដំបូង ឬធ្វើបច្ចុប្បន្នភាព ក៏ដោយ។គ្មានការសង្ស័យទេដើម្បីការពារសុចរិតភាពនៃកញ្ចប់កម្មវិធីវាសំខាន់ក្នុងការប្រើការផ្ទៀងផ្ទាត់តាម ហត្ថលេខាដែលអ្នកអភិវឌ្ឈន៍កម្មវិធីមិនមានការគ្រប់គ្រងលើកញ្ចក់ម៉ាស៊ីន ប៉ុន្តែក្នុងពេលតែមួយការ អនុវត្ត HTTPS អាចការពារការវាយប្រហារ បន្ទាប់ពីការរកឃើញភាពងាយរងគ្រោះបែបនេះ។
គ្មាន software វេទិកា រឺប្រព័ន្ធកាត់ដេរអាចមានសុវត្ថភាព 100 ភាគរយទេ ដូច្នេះការរក្សាស្រទាប់ សន្តិសុខដែលអាចធ្វើទៅបានគឺមិនមែនជាគំនិតល្អ។”តាមលំនាំដើម Debian និង Ubunta ប្រើ http ចេញពីប្រអប់ទាំងស្រុង (Debianអនុញ្ញាតឱ្យអ្នកជ្រើស រើសយកកញ្ចក់ដែលអ្នកចង់បានក្នុងអំឡុងពេលដំឡើង ប៉ុន្តែមិនបញ្ជូនជាមួយការគាំទ្រសម្រាប់ឃ្លាំង https ទេ អ្នកត្រូវដំឡើង apt-transport-https ជាមុនសិន។)” អ្នកស្រាវជ្រាវពន្យល់ថា “ការគាំទ្រ http គឺល្អ។ ខ្ញុំគិតថាវាមានតម្លៃធ្វើឱ្យឃ្លាំងទិន្នន័យ https ជាលំនាំដើម – លំនាំដើមដែលមានសុវត្ថិភាព និង អនុញ្ញាតឱ្យអ្នកប្រើបន្ទាបនូវសុវត្ថិភាពរបស់ពួកគេនៅពេលក្រោយប្រសិនបើពួកគេជ្រើសរើសធ្វើ ដូច្នេះ។”
អ្នកអភិវឌ្ឍន៍ APT បានបញ្ចេញកំណែ 1.4.9 ដើម្បីដោះស្រាយបញ្ហា។ ចាប់តាំងពី APT ត្រូវបានប្រើ ដោយការចែកចាយ Linux ដ៏ធំជាច្រើនរួមមាន Debian និង Ubuntu ដែលបានទទួលស្គាល់ និងចេញ ផ្សាយបំណះសុវត្ថិភាព វាត្រូវបានផ្ដល់អនុសាសន៍សម្រាប់អ្នកប្រើ Linux ដើម្បីធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធ របស់ពួកគេឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន៕
ប្រភពព័ត៌មាន៖
https://thehackernews.com/2019/01/linux-apt-http-hacking.html?m=1
