Max Justicz szúrta ki a hibát a legfőbb csomagkezelőben a Debianon. A HTTP transport nem tökéletesen tisztította a rajta átmenő forgalmat. A hibát kihasználva a szerver és a csomagkezelő között lehetőség van befecskendezni kéretlen kódot a forgalomba. A befecskendezés után kártékony csomag telepítésére kényszeríthető az APT, ami később akár root módban tud kódot futtatni.
Frissítés: A biztonsági hiba komolysága miatt a Debian kiadta a 9.7-es alverziót, hogy az új telepítésekben ne legyen jelen a hibás verziójú apt. A frissítés menete a szokásos amennyiben amúgy is a stretch-en vagyunk:
- sudo apt update
- sudo apt dist-upgrade
Ha nem áll módunkban frissíteni, érdemes kikapcsolni az átirányítást. Viszont ez magával vonhatja, hogy a forráslistát át kell írnunk közvetlen URL-ekre.
további információk a
hivatalos közleményben.