Diversos falhas/bugs encontrados em todos os Software Updaters, desde GNU/Linux aos BSD

Segundo o site FreeBSD News, foram encontrados falhas/bugs em todos os programas de actualização de software, desde as distros GNU/Linux até aos BSD.

As ferramentas que foram testadas no estudo conduzido pela Universidade do Arizona, incluem os conhecidos e batidos, “The packages analysed in the study were APT, APT-RPM, Pacman, portage, Ports, Slaktool, Stork, Urpmi, Yast and YUM.”

Os ataques descritos neste estudo podem dar ao atacante a possibilidade de apagar e ler ficheiros no sistema, capturar passwords e colocar backdoor’s.

Segundo os analistas, estes após criarem um servidor fictício para simular as falhas, receberam clientes de todos os tipos, incluindo militares e governamentais.

Ainda achei estranho esta notícia, pois pensei por exemplo na Debian e no seu apt-get com o GnuPG, infelizmente as assinaturas digitais muitas das vezes não expiram, ainda assim e pelo que percebi, não sendo eu nem de longe nem de perto expert, presumo que só se consiga usar software que já tinha sido assinado e que passe o teste de validade, ou seja só usando e encontrando vulnerabilidades em pacotes antigos as falhas podem ser usadas.

Também há que ter atenção ao comentário no site do FreeBSD News que diz, “Most people see this so-called paper more as advertising for their own package management system (stork) than as real scientific paper”.

Flaws found in BSD, Linux software updaters : News – Software – ZDNet Australia

The attacks work because of flaws in the system of secure signatures for packages and for the metadata describing the packages in a repository, the researchers said.