CleanPress

Fehler im Debian-Paketmanager behoben

Debian Swirl

Verfasst von

sla

in

,

Quelle: Chris Lamb | Lizenz: GPLv3

Ein kritischer Fehler in Debians Paketmanager APT wurde durch die Tatsache begünstigt, dass Debian und andere Distributionen für die Auslieferung ihrer Pakete an die Nutzer HTTP anstatt HTTPS nutzen. Durch HTTP-Redirects konnte per Man-in-the-Middle-Angriff dem Paketmanager APT ein Paket untergeschoben und sogar mit einer vermeintlich korrekten Signatur versehen werden.

Schwieriger mit HTTPS

Der letzte Teil wäre mit der Verwendung von HTTPS schwieriger zu bewerkstelligen. Das solcherart untergeschobene Paket konnte dann beliebigen Schadcode ausführen wenn es gestartet wurde. Entdeckt wurde die Lücke von Max Justicz, der sie in seinem Blog näher beschreibt. Betroffen waren neben Debian, Ubuntu und Linux Mint auch alle anderen Derivate.

Bitte aktualisieren

Die Debian-Entwickler wurden einige Tage vor der Veröffentlichung der Lücke informiert, sodass Patches für verschiedene Versionen von Debian und Ubuntu zu dem Zeitpunkt bereits zur Verfügung standen. Anwender sind dringend dazu aufgerufen, die aktualisierten Pakete zeitnah zu installieren.

Auf der sicheren Seite

Um, dabei gänzlich sicher zu sein, dass das System beim Upgrade nicht kompromittiert wird, empfiehlt Debian das Abschalten von Redirects während der Aktualisierung. Das kann mit folgenden Zeilen erreicht werden:

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

Ironischerweise wurde der Fehler zu einem Zeitpunkt veröffentlicht, in dem eine schon öfter geführte Diskussion darüber, ob es Sinn ergibt, Pakete aus Repositories per HTTPS auszuliefern, wieder aufflammt.

Für und gegen

Die Argumente, die bisher gegen HTTPS für die Auslieferung von Debian-Paketen ins Feld geführt wurden, verweisen auf die Komplexität der Bereitstellung eines riesigen weltweiten Mirror-Netzwerks, das über SSL verfügbar ist. Ein Wechsel zu HTTPS würde auch bedeuten, dass die Vorteile lokaler Proxy-Server zur Beschleunigung des Zugriffs nicht mehr genutzt werden könnten. Der Sicherheitsgewinn durch HTTPS wird kontrovers diskutiert.

Kommentare

Eine Antwort zu „Fehler im Debian-Paketmanager behoben“

  1. Avatar von Nick
    Nick

    Es gibt grundsätzlich keine validen Argumente gegen TLS. Und spätestens seit Let’s Encrypt, gilt das Argument mit korrupten CAs nicht länger. Ebenso sind Proxys absolut nachrangig hinsichtlich Sicherheit. Und anhand des verschlüsselten Datenstroms zu ermitteln, was gerade heruntergeladen wird, ist verdammt weit hergeholt. Maximal kann ein Angreifer wissen, dass es irgendein Paket von irgendeinem Mirror ist, mehr aber auch nicht. Die Verschlüsselung selbst verhindert bereits, dass Datensätze 1:1 identisch sind von der Größe, was ohnehin zufällig generiert wird. Aber bekanntlich gibt es endlose Ausreden in Sachen TLS, anstatt die Energie sinnvoll zu nutzen, vorsorglich nur auf diese Weise zu kommunizieren. Und nebenbei erwähnt, war der Code der dem Parsen der Signaturen diente, absolut fahrlässig. Mir unbegreiflich wie man Inhalte lesen kann, ohne sicherzustellen, dass diese auch ausschließlich aus dem Format bestehen was erwartet wird. Kann doch nicht angehen, über oder unter Signaturen beliebige Daten reindrücken zu können, die dann auch noch verarbeitet werden.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge