越獄新聞

CVE-2019-3462 漏洞並不會造成越獄平台 Cydia 受到威脅和影響

安全研究人員 Max Justicz 最近發現到有多個 Linux 發布版本中使用高級包裝工具(Advanced Packaging Tool;簡稱APT )存有遠端執行安全漏洞(CVE-2019-3462),在 Cydia 上也同樣是採用 APT 方式來管理插件,但這是否也會造成漏洞影響?Cydia 之父 Saurik 和 Electra Team 團隊都表示這不受影響。

 

APT是什麼?

APT 可以自動下載,配置,安裝二進制或者源代碼格式的軟體包,因此簡化了Unix系統上管理軟體的過程。APT最早被設計成dpkg的前端,用來處理deb格式的軟體包。現在經過APT-RPM組織修改,APT已經可以安裝在支援RPM的系統管理RPM套件。(參考根據維基百科)

 

APT 漏洞與影響範圍

漏洞編號 CVE-2019-3462 ,Justicz 發現目前會造成 package 管理器版本為 0.8.15 和更舊版本存在漏洞,攻擊者只要利用該漏洞,就可以發起網路中間人攻擊,並且可獲取 root 權限來執行任意代碼,還可安裝其他任何一款 package 。

由於此漏洞風險性太高,DebianUbuntu 也都已經推出了最新修正。

 

Cydia 和越獄是否會遭到 APT 漏洞影響?

根據 Saurik 敘述:「十年前在 Cydia 開發時,就已經將 APT 後端重端重新改寫,所以並不會受到這次漏洞的攻擊。」

另外 Electra 越獄團隊也公告:「Electra 越獄工具上的 APT 是不會受到 CVE-2019-3462 的攻擊,因為我們的 APT 是使用重寫 http 後端。」

所以 Cydia 和越獄並不會遭受到這些漏洞的影響。

▼ 如果覺得本篇教學不錯,歡迎加入瘋先生粉絲團追最新教學技巧 ▼