軟件bug會(huì)經(jīng)常導(dǎo)致安全漏洞，而包管理器可以用來自動(dòng)升級(jí)和安裝軟件，修補(bǔ)之前發(fā)現(xiàn)的漏洞。不過，假如包管理器不再安全的話，整個(gè)系統(tǒng)或許會(huì)受到更大的威脅。

亞利桑那大學(xué)的研究人員日前進(jìn)行了一項(xiàng)研究，檢查了包括APT、YUM、YaST等在內(nèi)的多種Linux和BSD包管理器的安全性，結(jié)果在所有測(cè)試的包管理器中都發(fā)現(xiàn)了問題。

盡管大多數(shù)的包管理器都使用了簽名機(jī)制確保安全，不過據(jù)稱利用CVE-2008-0166漏洞，攻擊者可以對(duì)包含惡意內(nèi)容的軟件包成功進(jìn)行有效簽名，尤其是用戶使用第三方鏡像源時(shí)，升級(jí)包的安全性更得不到保證。另外，大多數(shù)Linux發(fā)行版對(duì)個(gè)人或者組織建立的鏡像更新站點(diǎn)檢查力度不夠，攻擊者很容易就可以成為官方認(rèn)證的鏡像站點(diǎn)。

為了說明問題的嚴(yán)重性，研究人員使用了一個(gè)虛假的管理員和公司名稱，使用租借的服務(wù)器，卻成功被所有進(jìn)行嘗試的發(fā)行版（包括Ubuntu、Fedora、OpenSuSE、CentOS和Debian）列入了官方鏡像名單。

【編輯推薦】

1. Linux下使用rdesktop遠(yuǎn)程桌面Windows
2. Linux下處理圖像的法寶GIMP的安裝
3. Linux下使用網(wǎng)站主機(jī)作為加密代理服務(wù)器