软件bug会经常导致安全漏洞,而包管理器可以用来自动升级和安装软件,修补之前发现的漏洞。不过,假如包管理器不再安全的话,整个系统或许会受到更大的威胁。
亚利桑那大学的研究人员日前进行了一项研究,检查了包括APT、YUM、YaST等在内的多种Linux和BSD包管理器的安全性,结果在所有测试的包管理器中都发现了问题。
尽管大多数的包管理器都使用了签名机制确保安全,不过据称利用CVE-2008-0166漏洞,攻击者可以对包含恶意内容的软件包成功进行有效签名,尤其是用户使用第三方镜像源时,升级包的安全性更得不到保证。另外,大多数Linux发行版对个人或者组织建立的镜像更新站点检查力度不够,攻击者很容易就可以成为官方认证的镜像站点。
为了说明问题的严重性,研究人员使用了一个虚假的管理员和公司名称,使用租借的服务器,却成功被所有进行尝试的发行版(包括Ubuntu、Fedora、OpenSuSE、CentOS和Debian)列入了官方镜像名单。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
亚信安全网络安全威胁报告:APT攻击不断,金融业成威胁重灾区
近日,亚信安全发布《2016年第三季度网络安全威胁报告》,报告显示APT攻击在本季度持续活跃,特别是Rotten Tomato APT组织瞄准企业用户以窃取机密信息。
-
APT团伙是如何利用Windows热修复的?
高级持续性威胁(APT)团伙Platinum一直滥用Windows的热修复功能来攻击南亚和东南亚的政府组织和机构。这个APT团伙利用这个功能(Windows Server 2003中推出)将恶意代码注入到正在运行的进程中。那么,这些热修复攻击的工作原理是什么,我们应该如何应对?
-
C3峰会后续:APT成头号网络安全杀手 威胁取证难怎么破?
APT攻击是长期的。相应地,对抗也是持久之事。而在这个持续的对抗过程中,就需要综合多种技术和解决方案对APT做侦测、分析及进一步防治,而对于高级威胁取证难题,关联的智能则是其核心所在。
-
安全防御:数据与情报需唯“真”是问
如今已经是动态安全时代,传统设备和方案都是静态的,很难对抗持续变化和升级的攻击手段。威胁情报正好是以动态的手段来对抗攻击者……