Linux 15.009 Themen, 106.833 Beiträge

Verfolgung starten Optionen
News: Hohes Risiko

Lücken in Paketmanagern

Redaktion / 18 Antworten / Flachansicht Nickles

Neuer Albtraum für Linux-Anwender: Sicherheitsexperten haben zehn Paketmanager für Linux und BSD untersucht, alle weisen gravierende Lücken auf! Hacker können damit Dateien löschen, Passwörter klauen oder eine Backdoor installieren.

Zu den beschriebenen Attacken gehört ein Replay-Angriff: Hacker können als Man-In-The-Middle Package-Metadaten abgreifen und dem Client veraltete Software mit Lücken unterschieben.

Zudem haben es die Forscher geschafft, sich als offizieller Mirror bei allen Distributionen zu registrieren.

Als Gegenmaßnamen werden empfohlen: Nur vertrauenswürdige Mirrors verwenden, keine automatischen Updates machen, signierte Metadaten verwenden und HTTPS mit dem Mirror einsetzen.

Quelle: University of Arizona

bei Antwort benachrichtigen
Leider ist die QUelle zur Zeit bei mir nicht erreichtbar. Welcher ... uscos
Die Frage ist jetzt nur, vieviele Hacker diese Lücken schon gefunden ... Data Junkey
schau dir doch erstmal die fakten an. Zumindest die news ist so aufgebaut ... uscos
Geht jetzt hier die gleiche Sch los wie bei M ? Sag, hast Du Dir mal so ... jueki
Hallo Jürgen, Die Meinung, irgend etwas Technisches, sei es aus Stahl oder ... anobienkiller
Bei Debian werden die Daten mit Hilfe von gpg auf ihre Echtheit verifiziert. ... KarstenW
In der Mathematik gibt es derzeit keine Umkehrfunktion zur Faktorisierung. ... Borlander
Du meinst sicherlich die Division / Multiplikation. Ich meine aber, man kann ... KarstenW
Faktoren sind die Einzelteile eines Produkts, also dem Ergebnis einer ... Borlander
47 * 67 :-D Olaf19
Hab ich gerade mit OpenOffice Calc hinbekommen... Hat ja auch nur 49 Stunden ... Borlander
Bei Debian werden mit Hilfe von gpg die heruntergeladenen Pakete verfiziert. ... KarstenW
Wir wollen ja nicht übertreiben Chaos3
33 Jahre Prosseco
Nuja, damals konnte man sich sicherlich nicht vorstellen wie die Zukunft ... Chaos3
Hallo Chaos, nun ja, nur Heute ist Heute. Oder kann man wieder nicht in die ... Prosseco
Es wird immer etwas geben, was man früher vergessen hatte . So ist es ... Chaos3
uscos Redaktion „Lücken in Paketmanagern“
Optionen

Wie ich vermutet habe handelt es sich letzen Endes um FUD.

Hier die klaerende Stellungsnahme von openSUSE. Die gleichen Implikationen gelten im Prinzip fuer alle Paketmanager und Distributionen die ich kenne:

Dear openSUSE and SUSE Linux Enterprise users,

Several news sites recently published articles citing a report about
attacks on package managers [1]. Some unfortunately chose a wording
that could be misunderstood as if a rogue mirror server could trick
YaST into installing malicious software when applying regular
(security-)updates.

This is not the case. All official update repositories for SUSE
Linux based products use cryptographically signed packages and meta
data. YaST verifies the cryptographic signatures and rejects any
file whose signature doesn't match. Therefore it's not possible for
a rogue mirror to introduce malicious software.

Another problem outlined in the report was that mirror servers could
intentionally serve an old version of the update repository.
Therefore clients using that mirror would not get the latest
security updates and potentially stay vulnerable to known and
presumably already fixed problems.

SUSE already addresses this issue too.
- Firstly, YaST will not automatically downgrade installed packages.
Therefore an outdated repository can not undo an already applied
security fix.
- Secondly, starting with version 10.3 openSUSE uses a central
download redirector that directly serves the meta data. Stale
mirrors are therefore detected immediately. To avoid sending
clients to mirrors that do not have certain files (yet), the
download redirector also continuously monitors it's mirrors. It
only redirects to servers that are known to have the file in
question.

For SUSE Linux enterprise products only servers owned by Novell
are used via secure https connections.

cu
Ludwig

[1] http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attacks-on-package-managers.html

-- (o_ Ludwig Nussel //\ V_/_ http://www.suse.de/ SUSE LINUX Products GmbH, GF: Markus Rex, HRB 16746 (AG Nuernberg)

bei Antwort benachrichtigen