Linux-käyttöjärjestelmissä on kehitetty toimivia graafisia ohjelmistojen asennustyökaluja, mutta nopein ja kätevin on edelleen vanha kunnon apt-get, jolla ohjelmistopaketteja noudetaan ja asennetaan koneelle. Nyt tästä työkalusta on löytynyt haavoittuvuus. Se on onneksi jo paikattu.
Apt-get eli Advanced Packaging Tool on käytännössä vain ohjelmistojen dpkg-paketointijärjestelmän etupää käyttäjän suuntaan. Tietoturvatutkija Max Justiczin mukaan siinä on haavoittuvuus, joka mahdollistaa ns. man-in-the-middle -hyökkäykset järjestelmään.
Justiczin mukaan aukko antaa mahdollisuuden ajaa mitä tahansa koodia juuritason oikeuksin, kun työkalu asentaa ohjelmistopakettia. Onneksi aukko on paikattu apt-työkalun uudemmissa versioissa.
Justicz kertoo, että aukko johtuu apt-työkalun tavasta hakea ohjelmistopaketteja http-protokollalla. Apt:n aiemmissa versioissa on huonosti varmistettu, että paketti haetaan oikeasta osoitteesta eli työkalu ei tarkista lataamiseen käytettävän osoitteen URI-tunnusta. Edes siirtyminen salattuun HTTPS-protokollaan ei välttämättä ratkaise ongelmaa, mikä on käynyt ilmi jo aiemmin. Silti Justicz suosittelee siirtymään HTTPS:een apt-pakettien siirrossa.
Justicz kiittää vielä apt-ylläpitäjiä aukon nopeasta paikkaamisesta.