軟件bug會經(jīng)常導(dǎo)致安全漏洞，而包管理器可以用來自動升級和安裝軟件，修補之前發(fā)現(xiàn)的漏洞。不過，假如包管理器不再安全的話，整個系統(tǒng)或許會受到更大的威脅。

亞利桑那大學(xué)的研究人員日前進行了一項研究，檢查了包括APT、YUM、YaST等在內(nèi)的多種Linux和BSD包管理器的安全性，結(jié)果在所有測試的包管理器中都發(fā)現(xiàn)了問題。

盡管大多數(shù)的包管理器都使用了簽名機制確保安全，不過據(jù)稱利用CVE-2008-0166漏洞，攻擊者可以對包含惡意內(nèi)容的軟件包成功進行有效簽名，尤其是用戶使用第三方鏡像源時，升級包的安全性更得不到保證。另外，大多數(shù)Linux發(fā)行版對個人或者組織建立的鏡像更新站點檢查力度不夠，攻擊者很容易就可以成為官方認(rèn)證的鏡像站點。

為了說明問題的嚴(yán)重性，研究人員使用了一個虛假的管理員和公司名稱，使用租借的服務(wù)器，卻成功被所有進行嘗試的發(fā)行版（包括Ubuntu、Fedora、OpenSuSE、CentOS和Debian）列入了官方鏡像名單。

【編輯推薦】

1. Linux下使用rdesktop遠(yuǎn)程桌面Windows
2. Linux下處理圖像的法寶GIMP的安裝
3. Linux下使用網(wǎng)站主機作為加密代理服務(wù)器