軟件bug會經常導致安全漏洞，而包管理器可以用來自動升級和安裝軟件，修補之前發現的漏洞。不過，假如包管理器不再安全的話，整個系統或許會受到更大的威脅。

　　亞利桑那大學的研究人員日前進行了一項研究，檢查了包括APT、YUM、YaST等在內的多種linux和BSD包管理器的安全性，結果在所有測試的包管理器中都發現了問題。

　　盡管大多數的包管理器都使用了簽名機制確保安全，不過據稱利用CVE-2008-0166漏洞，攻擊者可以對包含惡意內容的軟件包成功進行有效簽名，尤其是用戶使用第三方鏡像源時，升級包的安全性更得不到保證。另外，大多數Linux發行版對個人或者組織建立的鏡像更新站點檢查力度不夠，攻擊者很容易就可以成為官方認證的鏡像站點。

　　為了說明問題的嚴重性，研究人員使用了一個虛假的管理員和公司名稱，使用租借的服務器，卻成功被所有進行嘗試的發行版(包括Ubuntu、Fedora、OpenSuSE、CentOS和Debian)列入了官方鏡像名單。