Abo
  • Services:
Anzeige
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt.
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt. (Bild: DebianArt / manel)

Apt: Buffer Overflow in Debians Paketmanagement

Im von Debian und Ubuntu verwendeten Paketmanagement Apt ist ein sicherheitskritischer Fehler entdeckt worden. Es ist bereits das zweite Mal in kurzer Zeit, dass Apt Sicherheitsprobleme hat.

Anzeige

Zum zweiten Mal innerhalb kurzer Zeit müssen die Entwickler der Linux-Distribution Debian einen sicherheitskritischen Fehler im Paketmanagement Apt vermelden. Auch Ubuntu ist betroffen. Ein Buffer Overflow kann im schlimmsten Fall dazu führen, dass ein Angreifer bösartigen Code ausführen kann. Ein Update steht inzwischen bereit.

Der Fehler hat die ID CVE-2014-6273 erhalten. Entdeckt wurde er von Googles Sicherheitsteam. Vor etwa einer Woche hatte Apt bereits ein Update erhalten, um eine Sicherheitslücke bei der Prüfung von Paketsignaturen zu beheben. Die jetzige Lücke dürfte noch gravierender sein, die Details sind allerdings noch nicht bekannt.

Mittels eines Man-in-the-Middle-Angriffs könnte ein Angreifer bei einem Update oder der Installation von neuen Paketen entsprechend präparierte Pakete einschleusen, die den Buffer Overflow auslösen. Da das Paketmanagement mit Root-Rechten läuft, hätte in diesem Fall ein Angreifer die Möglichkeit, die vollständige Kontrolle über das betroffene System zu erhalten.

Im stabilen Distributionszweig Debian 7 (Codename Wheezy) ist der Fehler in Version 0.9.7.9+deb7u5 korrigiert. In der aktuellen Ubuntu-Version 14.04 (Codename Trusty Tahr) tragen die korrigierten Apt-Pakete die Versionsnummer 1.0.1ubuntu2.4.1. Auch für ältere Ubuntu- und Debian-Versionen stehen Updates bereit. Andere Distributionen wie Linux Mint, die ebenfalls das Apt-Paketmanagement benutzen, sind wahrscheinlich auch betroffen. Da das Update selbst als Angriffsvektor genutzt werden kann, sollten die Aktualisierungen nach Möglichkeit in einem vertrauenswürdigen Netzwerk durchgeführt werden.

Nachtrag vom 29. September 2014, 14:52 Uhr Mehrere Leser haben uns darauf hingewiesen, dass die Apt-Pakete in aktuellen Debian- und Ubuntu-Versionen mit der GCC-Option FORTIFY_SOURCE kompiliert wurden. Dadurch wird das Ausnutzen von Buffer Overflows erschwert, es ist aber dennoch nicht auszuschließen, dass ein System durch diese Sicherheitslücke angegriffen wird.


eye home zur Startseite
hannob (golem.de) 29. Sep 2014

Ist zwar schon etwas älter, aber wir haben jetzt im Artikel noch einen Nachtrag...

FreiGeistler 24. Sep 2014

War das jetzt ironisch gemeint oder bist du wirklich so paranoid? ; )

holminger 24. Sep 2014

Das was Du und alle anderen normalen User als Lesen bezeichnen, sind eigentlich zwei...

der_wahre_hannes 24. Sep 2014

Ne, die benutzten noch ISDN. :D

Heretic 24. Sep 2014

Setz wenigstens ... sonst nimmt das noch jemand ernst und lässt dich einweisen.



Anzeige

Stellenmarkt
  1. Süwag Energie AG, Frankfurt am Main
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Plansee Group Service GmbH, Reutte (Österreich)
  4. Honda R&D Europe (Deutschland) GmbH über PME Personal- und Managemententwicklung Horst Mangold, Offenbach am Main


Anzeige
Top-Angebote
  1. 29,00€ inkl. Versand
  2. 11,00€ inkl. Versand
  3. 11,00€ inkl. Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mehr dazu im aktuellen Whitepaper von Bitdefender


  1. Künstliche Intelligenz

    Softbank und Honda wollen sprechendes Auto bauen

  2. Alternatives Android

    Cyanogen soll zahlreiche Mitarbeiter entlassen

  3. Update

    Onedrive erstellt automatisierte Alben und erkennt Pokémon

  4. Die Woche im Video

    Ausgesperrt, ausprobiert, ausgetüftelt

  5. 100 MBit/s

    Zusagen der Bundesnetzagentur drücken Preis für Vectoring

  6. Insolvenz

    Unister Holding mit 39 Millionen Euro verschuldet

  7. Radeons RX 480

    Die Designs von AMDs Partnern takten höher - und konstanter

  8. Koelnmesse

    Tagestickets für Gamescom ausverkauft

  9. Kluge Uhren

    Weltweiter Smartwatch-Markt bricht um ein Drittel ein

  10. Linux

    Nvidia ist bereit für einheitliche Wayland-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo auf dem Smartphone: Pokémon Go Out!
Nintendo auf dem Smartphone
Pokémon Go Out!
  1. Pokémon Go Monsterjagd im Heimatland
  2. Pokémon Go Verbraucherschützer reichen Abmahnung gegen Niantic ein
  3. Wearable Pokémon Go Plus grundsätzlich vorbestellbar

Miniscooter: E-Floater, der Elektroroller für die letzte Meile
Miniscooter
E-Floater, der Elektroroller für die letzte Meile
  1. Relativity Space Raketenbau ohne Menschen
  2. Surround-Video Nico360 filmt 360-Grad-Videos zwischen Fingerspitzen
  3. Besuch bei Senic Das Kreuzberger Shenzhen

Pokémon Go im Test: Hype in der Großstadt, Flaute auf dem Land
Pokémon Go im Test
Hype in der Großstadt, Flaute auf dem Land
  1. T-Mobile US Telekom-Tochter bietet freien Datenverkehr für Pokémon Go an
  2. Pokémon Go und Nutzerrechte Gotta catch 'em all!
  3. Nintendo und Niantic Pokémon Go in den USA erhältlich

  1. Re: Einnahmequellen?

    Cok3.Zer0 | 18:38

  2. Re: Zahlsrtrahl

    dorian6 | 18:37

  3. Re: Auch am Pokémon-Go-Hype will Microsoft teilhaben

    Danijoo | 18:34

  4. Re: Multitasking

    igor37 | 18:29

  5. Re: Ab der kommerziellen Firma..

    FreiGeistler | 18:27


  1. 15:17

  2. 14:19

  3. 13:08

  4. 09:01

  5. 18:26

  6. 18:00

  7. 17:00

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel