SEBUAH Linux (terbuka di tab baru) pengembang telah mengirimkan tambalan untuk memperbaiki masalah lama di sumber terbuka (terbuka di tab baru) Sistem manajemen paket RPM yang dilaporkan dapat dimanfaatkan untuk menginstal perangkat lunak berbahaya.
Pada bulan Maret 2021, Dmitry Antipov, pengembang Linux dengan CloudLinux, menunjukkan bahwa paket yang tidak ditandatangani atau paket yang ditandatangani dengan kunci yang dicabut dapat secara diam-diam ditambal atau diperbarui.
“Masalahnya adalah RPM dan DNF (manajer paket yang menginstal, memperbarui, dan menghapus paket RPM) melakukan pemeriksaan untuk melihat apakah kuncinya valid dan asli, tetapi tidak kedaluwarsa, tetapi tidak untuk pencabutan,” jelas Antipov.
Bukan benar-benar bug?
Saat Antiov pertama kali menyoroti masalah ini, pengembang Panu Matilainen menjelaskan bahwa RPM tidak pernah memiliki mekanisme untuk memeriksa penanganan kunci sertifikat yang dicabut.
“Pencabutan adalah salah satu dari banyak hal yang tidak diterapkan dalam dukungan OpenPGP RPM. Dengan kata lain, Anda tidak melihat bug seperti itu; itu tidak diterapkan sama sekali, seperti kedaluwarsa tidak,” tulis Matilainen (terbuka di tab baru).
Terlepas dari apakah masalahnya sesuai dengan definisi klasik bug atau tidak, seperti ZDNet tunjukkan, pelaku ancaman dapat mengeksploitasi perilaku ini untuk menggunakan kunci yang dicabut atau kedaluwarsa untuk menginstal paket berbahaya.
Lebih mengkhawatirkan, meskipun Antipov memilikinya mengirimkan tambalan (terbuka di tab baru) untuk memperbaiki masalah ini, karena sifat masalah dan perbaikannya, dia yakin perlu waktu beberapa bulan sebelum masalah tersebut akhirnya diperbaiki.
Melalui ZDNet (terbuka di tab baru)