软件bug会经常导致安全漏洞，而包管理器可以用来自动升级和安装软件，修补之前发现的漏洞。不过，假如包管理器不再安全的话，整个系统或许会受到更大的威胁。

亚利桑那大学的研究人员日前进行了一项研究，检查了包括APT、YUM、YaST等在内的多种Linux和BSD包管理器的安全性，结果在所有测试的包管理器中都发现了问题。

尽管大多数的包管理器都使用了签名机制确保安全，不过据称利用CVE-2008-0166漏洞，攻击者可以对包含恶意内容的软件包成功进行有效签
名，尤其是用户使用第三方镜像源时，升级包的安全性更得不到保证。另外，大多数Linux发行版对个人或者组织建立的镜像更新站点检查力度不够，攻击者很
容易就可以成为官方认证的镜像站点。

为了说明问题的严重性，研究人员使用了一个虚假的管理员和公司名称，使用租借的服务器，却成功被所有进行尝试的发行版（包括Ubuntu、Fedora、OpenSuSE、CentOS和Debian）列入了官方镜像名单。

• 2
• 挖它!