Una ricerca pubblicata dall’Università dell’Arizona evidenzia come i gestori di pacchetti (“package managers”), ossia i sistemi che consentono di installare, verificare, aggiornare e disinstallare i software nelle varie distribuzioni Linux, contengano alcune vulnerabilità che potrebbero consentire, a “mirror server” maligni, di distribuire vecchie versioni di applicazioni contenenti falle di sicurezza.
Gli autori dello studio hanno mostrato come sia molto semplice impostare un server mirror per la distribuzione di software Linux.
Secondo quando dichiarato da Justin Cappos, Justin Samuel, Scott Baker e John H. Hartman, le lacune presenti nei gestori di pacchetti APT, YUM, YaST e BSD offrirebbero un valido strumento di attacco. I quattro ricercatori hanno spiegato quanto sia relativamente semplice vedere il proprio server elencato tra i mirror ufficiali per distribuzioni quali Ubuntu, Fedora, OpenSuSE, CentOS e Debian.
Un aggressore non può modificare le firme digitali dei pacchetti: in tal caso, infatti, verrebbe immediatamente visualizzato un messaggio d’errore in fase d’installazione del software. Purtuttavia, è possibile inviare ai client connessi al server mirror “fasullo” una versione “datata” di un pacchetto software contenente, ad esempio, falle di sicurezza conosciute.
A corollario dello studio, visionabile a questo indirizzo, viene fornito qualche consiglio. In particolare, si suggerisce di utilizzare sempre e solo “repositories” gestiti da organizzazioni affidabili. L’aggiornamento dovrebbe inoltre essere effettuato in modo manuale non appena venga annunciato il rilascio di nuovi update.