Studie: Linux-Paketmanager lassen sich angreifen

Forscher untersuchen BSD- und Linux-Systeme

Paketverwaltungen unter Linux- und BSD-Systemen lassen sich einfach angreifen, um so beispielsweise Sicherheitslücken zu implementieren. Zu diesem Schluss kommen Forscher der Universität Arizona in ihrer Studie. Dafür haben sie selbst einen manipulierten Mirror-Server aufgesetzt.

Anzeige

Zwar werden Linux-Anwender über die gängigen Paketmanagementsysteme wie Apt und Yum schnell und komfortabel mit Sicherheitsupdates versorgt. Den Systemen blind zu vertrauen, sei aber blauäugig, meinen Forscher der Universität Arizona, die sich mit Angriffen auf Paketmanager beschäftigt haben.

Die meisten Paketmanagementsysteme setzen mittlerweile auf signierte Pakete oder Repositorys. Es sei aber durchaus möglich, korrekt signierte, aber veraltete Pakete auszuliefern. Speziell wenn diese Sicherheitslücken enthalten, öffnet dies die Möglichkeit für Angriffe. Es reiche aus, dem Paketmanager eine veraltete Paketliste auszuliefern, um ihn zu überreden, Software aus dem Repository zu installieren.

In die offiziellen Mirror-Listen der Distributoren aufgenommen zu werden, sei nicht allzu schwer. Denn die Distributoren prüfen die Mirror-Betreiber gar nicht oder nur unzureichend. So ist es den Forschern nach eigenen Angaben gelungen, ihren Server unter einem erfundenen Firmennamen zu betreiben und damit zum offiziellen Mirror-Server für CentOS, Debian, Fedora, OpenSuse und Ubuntu zu werden. Von diesen hätten tausende Nutzer Pakete abgerufen - inklusive Rechnern des US-Militärs und der US-Regierung. Zwar prüfen einige Distributoren den Inhalt der Server, es sei aber kein Problem, unterschiedliche Datenbestände auszuliefern. So sei es möglich, Anwender komplett daran zu hindern, sich Sicherheitsaktualisierungen zu installieren. Bei Systemen, die unsignierte Metadaten verwenden, seien sogar noch weitere Angriffe denkbar.

Die Autoren der Studie raten unter anderem dazu, nur Repositorys von vertrauenswürdigen Organisationen wie Universitäten einzusetzen. Ferner sollten sich Anwender selbst über Sicherheitsupdates informieren und diese manuell installieren. Um Man-in-the-Middle-Angriffen vorzubeugen, sollte zusätzlich eine verschlüsselte Verbindung zwischen Repository und eigenem Computer verwendet werden.

Der von den Wissenschaftlern entwickelte Paketmanager Stork soll diese Probleme langfristig lösen - vorausgesetzt, Linux-Distributionen setzen diesen ein.

Kommentarübersicht
Re: Linux ist sicher...
cjve0z3KFjRWfgs... 22. Mai 2009

Schön, dass es sich wenigstens untersuchen lässt. Deinem Windows musst du leider blind...

Re: Apple und Mircosoft sind eh die geilsten!
so ein Idiot 10. Feb 2009

Offenbar wachsen Sackhaare im Netz nicht so schnell wie in Wirklichkeit... selten so ein...

Re: Totaler Bullshit
__) 04. Nov 2008

Nunja nun wird die Unix Welt halt von Angriffen betroffen werden und zwar ein wenig mehr...

Re: Totaler Bullshit
spanther 04. Nov 2008

loooool XDDDD Du hast mir den Abend versüßt nein echt mal wie niedlich is das denn XD...

Re: Totaler Bullshit
someone 18. Jul 2008

Nein, das habe ich nicht gemeint. Ein Lösungsvorschlag für die vermeintliche unsaubere...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Senior IT Produktmanager (m/w)
    Zalando GmbH, Berlin
  2. Senior Systemingenieur/in
    ESG Elektroniksystem- und Logistik-GmbH, München
  3. Senior Storage Analyst (m/w)
    Amadeus Data Processing GmbH, Erding near Munich
  4. Teamleiter IT Qualitätssicherung (m/w)
    Zalando GmbH, Berlin, Dortmund

 

Detailsuche

Folgen Sie uns
       
Videos
APC - Android PC für 49 Dollar APC - Android PC für 49 Dollar
Meistgelesen
  1. Samsung XE300

    Google Chromebox versehentlich ausgeliefert
  2. Soziale Pornos

    Facebook verliert Klage gegen Faceporn
  3. Bundesregierung

    Deutsche Geheimdienste können PGP entschlüsseln
  4. IMHO

    Warum ich nicht Diablo 3 spiele
  5. Lockheed Martin

    US-Soldaten in Afghanistan bekommen Exoskelett
Meistkommentiert
  1. IMHO: Warum ich nicht Diablo 3 spiele

    Kommentare: 338 | letzter Beitrag 14:07 Uhr

  2. Kino.to-Chef: "Ich habe neben dem Rechner geschlafen"

    Kommentare: 215 | letzter Beitrag 11:06 Uhr

  3. F2, F8, F12: Windows 8 startet zu schnell

    Kommentare: 161 | letzter Beitrag 11:13 Uhr

  4. Diablo 3: Spekulationen um gehackte Benutzerkonten und erster Patch

    Kommentare: 147 | letzter Beitrag 13:26 Uhr

  5. Bundesregierung: Deutsche Geheimdienste können PGP entschlüsseln

    Kommentare: 124 | letzter Beitrag 14:27 Uhr

Mehr

Ticker
  1. Iconia Tab A510 / A511

    Lieferprobleme bei Acers Android-Tablets

  2. Energy Harvesting

    Strom aus dem Teelicht

  3. Asus-Ultrabook

    Neue Zenbooks mit IPS-Display und Full-HD

  4. Lenovo

    PC-Hersteller öffnet einen Outlet Store im Netz

  5. WHMCS

    Hacks und Social Engineering bei Finanzdienstleister

  6. Nexus Tablet von Asus und Google

    7-Zoll-Android-Tablet für Juli erwartet

  7. Gegenwehr

    The Pirate Bay hebelt ISP-Blockaden aus

  8. Coda 2 und Diät Coda

    Code-Editor für Mac und iPad

  9. Total War

    Editor für Do-it-yourself-Schlachtfelder

  10. Lockheed Martin

    US-Soldaten in Afghanistan bekommen Exoskelett

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Tablet
Referenzplattform: Nvidias Quad-Core-Tablet "Kai" für 199 US-Dollar
Referenzplattform
Nvidias Quad-Core-Tablet "Kai" für 199 US-Dollar

Mit einer neuen Referenzplattform, Codename "Kai", will Nvidia die Preise für schnelle Tablets mit Android stark senken. Dabei hat das Unternehmen mehr vor, als seine eigenen Tegra-3-Chips günstiger zu verkaufen.

  1. Tablet Offener Bootloader für Asus Transformer Pad
  2. Transformer Pad TF300TL Asus' erstes Android-Tablet mit LTE
  3. Intels Windows-8-Tablets 30 Tage Standby, 9 Stunden Laufzeit, 9 mm Dicke
Set-top-box
Streaming-Client: Media Markt bringt Set-Top-Box Volksbox Movie für 69 Euro
Streaming-Client
Media Markt bringt Set-Top-Box Volksbox Movie für 69 Euro

In dieser Woche bringt der Elektronikdiscounter Media Markt seine Volksbox Movie in den Handel. Sie dient für Filme aus dem eigenen Netz oder von externer Festplatte sowie die Leih- und Kaufangebote von Media Markt.

  1. Patente Google will Motorolas Smartphones weiterverkaufen
  2. Intel TV Intel will IP-TV-Anbieter werden
  3. Set-Top-Boxen Google soll Verkauf von Motorola-Konzernteil planen
Scanner
Reflecta iPad-Scan: Apple-Tablet als Einzugsscanner
Reflecta iPad-Scan
Apple-Tablet als Einzugsscanner

Mit dem Reflecta iPad-Scan wird Apples Tablet zum Einzugsscanner - sofern eine Steckdose in der Nähe ist. Die Scanauflösung beträgt 300 dpi.

Forumsbeiträge »
  1. Android-TV DVB-T-Empfänger für Smartphones und Tablets

    Re: Host-Modus ist doch fast schon Standard!

    y.m.m.d. | 14:39

  2. IMHO Warum ich nicht Diablo 3 spiele

    Re: Ich spiel kein Diabolo 3 weil es das nicht gibt!

    potbot | 14:39

  3. Lockheed Martin US-Soldaten in Afghanistan bekommen Exoskelett

    Re: Erschreckend und interessant zugleich

    Zaken | 14:39

  4. Bundesregierung Deutsche Geheimdienste können PGP entschlüsseln

    Re: Verschlüsselung ist keine Hürde mehr

    tunnelblick | 14:39

  5. Windows-Dateimanager Total Commander 8.0 gibt es auch als 64-Bit-Version

    Re: den braucht man nicht mehr

    flash | 14:39

Ticker »
  1. Iconia Tab A510 / A511 Lieferprobleme bei Acers Android-Tablets

    14:01

  2. Energy Harvesting Strom aus dem Teelicht

    14:00

  3. Asus-Ultrabook Neue Zenbooks mit IPS-Display und Full-HD

    12:09

  4. Lenovo PC-Hersteller öffnet einen Outlet Store im Netz

    12:07

  5. WHMCS Hacks und Social Engineering bei Finanzdienstleister

    12:06

  6. Nexus Tablet von Asus und Google 7-Zoll-Android-Tablet für Juli erwartet

    12:02

  7. Gegenwehr The Pirate Bay hebelt ISP-Blockaden aus

    12:02

  8. Coda 2 und Diät Coda Code-Editor für Mac und iPad

    12:00

Zum Artikel