CVE-2026-42575 apko软件包完整性校验缺失漏洞

漏洞信息

漏洞编号

CVE-2026-42575

漏洞类型

完整性校验缺失

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

apko

漏洞概述

apko在1.2.7版本之前存在漏洞，虽验证了APKINDEX.tar.gz的签名，但未将下载的.apk包哈希与签名索引中的校验和进行比对。攻击者可利用此漏洞通过篡改下载响应（如攻击镜像或CDN），将任意恶意包植入构建的镜像中，破坏软件供应链完整性。

技术细节

该漏洞源于apko在构建OCI镜像时的逻辑缺陷。虽然`getPackageImpl()`函数解析了签名索引`APKINDEX.tar.gz`中的校验和（通过ChecksumString()获取），并计算了下载包的哈希值，但代码中缺少将两者进行比对的关键步骤。因此，即使攻击者通过中间人攻击、恶意镜像或CDN缓存投毒替换了原始的.apk文件，只要索引文件签名验证通过，apko仍会接受不匹配的恶意包。这导致构建出的容器镜像被植入未经授权的代码，严重威胁供应链安全。

攻击链分析

STEP 1

1. 信息收集

攻击者确定目标使用apko构建镜像，并识别其依赖的APK仓库或镜像源。

STEP 2

2. 环境投毒

攻击者通过中间人攻击、劫持HTTP仓库或污染CDN缓存，篡改特定.apk包的下载内容。

STEP 3

3. 触发构建

目标用户执行apko构建命令，apko下载并验证APKINDEX.tar.gz签名（通过），然后下载被篡改的.apk包。

STEP 4

4. 验证绕过

由于apko未比对包哈希值与索引中的校验和，恶意包被错误地视为合法并解压。

STEP 5

5. 执行载荷

恶意代码被植入最终生成的OCI镜像中，当镜像运行时攻击者获得执行权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept: Demonstration of the missing checksum verification logic
# This script simulates the vulnerable behavior in apko < 1.2.7

def verify_package_vulnerable(index_checksum, downloaded_package_hash):
    # Vulnerable logic: Parse values but do not compare
    print(f"[VULNERABLE] Index Checksum: {index_checksum}")
    print(f"[VULNERABLE] Downloaded Hash: {downloaded_package_hash}")
    # Missing: if index_checksum != downloaded_package_hash: raise Error
    print("[VULNERABLE] Package accepted without hash comparison!")
    return True

def verify_package_patched(index_checksum, downloaded_package_hash):
    # Patched logic in v1.2.7
    print(f"[PATCHED] Index Checksum: {index_checksum}")
    print(f"[PATCHED] Downloaded Hash: {downloaded_package_hash}")
    if index_checksum != downloaded_package_hash:
        print("[PATCHED] ERROR: Hash mismatch! Package rejected.")
        return False
    print("[PATCHED] Package verified successfully.")
    return True

# Simulation
if __name__ == "__main__":
    # Attacker modifies the package, changing the hash
    original_hash = "abc123"
    tampered_hash = "deadbeef"
    
    print("--- Simulating Attack ---")
    verify_package_vulnerable(original_hash, tampered_hash)
    print("")
    print("--- Simulating Patched Behavior ---")
    verify_package_patched(original_hash, tampered_hash)

影响范围

apko < 1.2.7

防御指南

临时缓解措施

建议立即将apko升级到v1.2.7版本。若暂时无法升级，请确保构建环境仅连接受信任的HTTPS镜像源，并对生成的容器镜像进行额外的安全扫描以检测异常文件。