A esta falha foi atribuído o CVE-2019-3462, e pode ser explorada por um atacante através de um atacante MiTM para executar código arbitrário como root na máquina e instalar qualquer pacote.

Versões afetadas do gestor de pacotes

0.8.15 e anteriores.

Quando o utilizador se serve do comando apt-get, o HTTP redireciona os sistemas Linux a pedirem automaticamente pacotes a um servidor "mirror", quando os outros estão indisponíveis. Assim que o primeiro servidor não responde, outro servidor é chamado como sendo o mais apropriado.

Solução

Atualizar para a versão 1.4.9.

É também possível implementar o HTTPS de forma a prevenir a exploração da vulnerabilidade.

Mais informações aqui: https://www.bleepingcomputer.com/news/security/remote-code-execution-bug-patched-in-apt-linux-package-manager/