Abo
  • Services:
Anzeige
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung.
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung. (Bild: Debian)

Paketverwaltung: Apt mit Lücken bei der Validierung

Der Paketmanager Apt hat eine Reihe von Lücken bei der Validierung von Paketen. Aktualisierungen für die Linux-Distributionen Debian und Ubuntu stehen inzwischen bereit.

Anzeige

Wie die Sicherheitsteams von Debian und Ubuntu bekanntgeben, weist die von beiden Distributionen genutzte Paketverwaltung Apt eine Reihe von Lücken bei der Validierung von Paketen auf. Für die stabilen Zweige der beiden Distributionen, Debian Wheezy und Squeeze sowie die verschiedenen Ubuntu-LTS-Versionen, stehen Updates bereit. Debian Testing alias Jessie wird das aktualisierte Paket aus Sid bekommen. Das in Entwicklung befindliche Ubuntu 14.10 alias Utopic Unicorn verfügt ebenso über Pakete ohne die Lücken.

Konkret überprüft Apt die Signaturen nicht korrekt, die mit apt-get download heruntergeladen, aber noch nicht installiert worden sind. Dadurch könnten auch Pakete mit ungültigen Signaturen akzeptiert werden, was eine Manipulation durch Dritte ermöglichen könnte. Dies ist ebenfalls durch eine Lücke in der Option Acquire::GzipIndexes möglich, welche die Validierung der Prüfsumme überspringt. Unter Ubuntu ist diese Option aber nicht standardmäßig aktiviert.

Wechselt Apt von einem nicht authentifizierten in einen authentifizierten Zustand, werden vorher bereits heruntergeladene Daten der Paketquellen nicht für ungültig erklärt und neu angelegt, wodurch Sicherheitsrichtlinien umgangen werden können. Zusätzlich dazu ist das Umgehen durch eine falsche Auswertung des HTTP-Statuscodes 304 möglich. Dieser beschreibt, dass die Quelle seit dem letzten Aufruf nicht verändert worden ist.

Es ist davon auszugehen, dass auch andere Distributionen, die direkt oder indirekt auf Debian und Ubuntu aufbauen, wie etwa Linux Mint, ebenfalls von den Fehlern betroffen sind. Informationen dazu stehen aber noch nicht bereit.


eye home zur Startseite
tundracomp 21. Sep 2014

Leider ist es nach vielen Jahren noch immer so, dass man die besten Ergebnisse IMHO mit...

UNIXOID 19. Sep 2014

Wer Fremdquellen einbindet, ist »schwups« selbst daran schuld, ein inkonsistentes System...

jonny-boy 19. Sep 2014

Meiner Meinung nach können freie Programme zwar durchaus gute Alternativen zu bestimmten...

__destruct() 18. Sep 2014

Wie wird dieser denn falsch ausgewertet?



Anzeige

Stellenmarkt
  1. Hubert Burda Media, Offenburg
  2. Imago Design GmbH, Gilching
  3. Bosch Software Innovations GmbH, Waiblingen, Berlin
  4. MCM Klosterfrau Vertriebsgesellschaft mbH, Köln


Anzeige
Hardware-Angebote
  1. 525,01€
  2. und 15€ Cashback erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  2. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  3. Raumfahrt

    Europa bleibt im All

  4. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  5. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  6. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  7. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  8. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  9. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  10. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Final Fantasy 15 im Test: Weltenrettung mit der Boyband des Wahnsinns
Final Fantasy 15 im Test
Weltenrettung mit der Boyband des Wahnsinns
  1. Square Enix Koop-Modus von Final Fantasy 15 folgt kostenpflichtig

Udacity: Selbstfahrendes Auto selbst programmieren
Udacity
Selbstfahrendes Auto selbst programmieren
  1. Strategiepapier EU fordert europaweite Standards für vernetzte Autos
  2. Autonomes Fahren Comma One veröffentlicht Baupläne für Geohot-Nachrüstsatz
  3. Autonomes Fahren Intel baut Prozessoren für Delphi und Mobileye

Quake (1996): Urknall für Mouselook, Mods und moderne 3D-Grafik
Quake (1996)
Urknall für Mouselook, Mods und moderne 3D-Grafik
  1. Künstliche Intelligenz Doom geht in Deckung

  1. Re: Alter Hut

    DerSkeptiker | 18:22

  2. Re: Angriffs Szenario

    fuzzy | 18:19

  3. Re: Das diabolische Microsoft mal wieder...

    My1 | 18:17

  4. Re: Port umlenken

    EWCH | 18:15

  5. Re: Hinweis wäre nett gewesen ...

    FlorianP | 18:14


  1. 15:33

  2. 14:43

  3. 13:37

  4. 11:12

  5. 09:02

  6. 18:27

  7. 18:01

  8. 17:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel