В Alpine Linux, по умолчанию использующие пакетный менеджер apk, найдена серьезная уязвимость, позволяющая злоумышленники производить MITM-атаку и исполнять на удаленном компьютере вредоносных код.

Alpine Linux — достаточно известный дистрибутив, который ориентирован на минимальный вес образа и его максимальную безопасность. Благодаря тому, что об уязвимости было сообщено сразу, разработчики практически сразу же выпустили сборку с исправленной ошибкой. Стоит отметить, что ошибка происходит из-за того, что репозитории по умолчанию не используют TLS.

Подробнее об ошибке

Пакеты менеджера apk используют одноименное расширение, но, по сути говоря, это не что иное, как обычные архивы tar.gz. Особенность менеджера заключается в том, что он распаковывает архивы до проверки их подлинности по помощи контрольных сумм. Каждый распакованный файл получает дополнительное расширение .all-new. Соответственно, если файлы не соответствуют контрольной сумме, они удаляются, однако по каким-то причинам, они остаются доступными пакетному менеджеру,и в директорию распаковки можно извлечь абсолютно любой файл, который тут же выполнится.

При этом весь процесс происходит незаметно для пользователей. Поэтому пользователям Alpine Linux настоятельно рекомендуется обновиться до самой новой версии.