Abo
  • Services:
Anzeige
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung.
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung. (Bild: Debian)

Paketverwaltung: Apt mit Lücken bei der Validierung

Der Paketmanager Apt hat eine Reihe von Lücken bei der Validierung von Paketen. Aktualisierungen für die Linux-Distributionen Debian und Ubuntu stehen inzwischen bereit.

Anzeige

Wie die Sicherheitsteams von Debian und Ubuntu bekanntgeben, weist die von beiden Distributionen genutzte Paketverwaltung Apt eine Reihe von Lücken bei der Validierung von Paketen auf. Für die stabilen Zweige der beiden Distributionen, Debian Wheezy und Squeeze sowie die verschiedenen Ubuntu-LTS-Versionen, stehen Updates bereit. Debian Testing alias Jessie wird das aktualisierte Paket aus Sid bekommen. Das in Entwicklung befindliche Ubuntu 14.10 alias Utopic Unicorn verfügt ebenso über Pakete ohne die Lücken.

Konkret überprüft Apt die Signaturen nicht korrekt, die mit apt-get download heruntergeladen, aber noch nicht installiert worden sind. Dadurch könnten auch Pakete mit ungültigen Signaturen akzeptiert werden, was eine Manipulation durch Dritte ermöglichen könnte. Dies ist ebenfalls durch eine Lücke in der Option Acquire::GzipIndexes möglich, welche die Validierung der Prüfsumme überspringt. Unter Ubuntu ist diese Option aber nicht standardmäßig aktiviert.

Wechselt Apt von einem nicht authentifizierten in einen authentifizierten Zustand, werden vorher bereits heruntergeladene Daten der Paketquellen nicht für ungültig erklärt und neu angelegt, wodurch Sicherheitsrichtlinien umgangen werden können. Zusätzlich dazu ist das Umgehen durch eine falsche Auswertung des HTTP-Statuscodes 304 möglich. Dieser beschreibt, dass die Quelle seit dem letzten Aufruf nicht verändert worden ist.

Es ist davon auszugehen, dass auch andere Distributionen, die direkt oder indirekt auf Debian und Ubuntu aufbauen, wie etwa Linux Mint, ebenfalls von den Fehlern betroffen sind. Informationen dazu stehen aber noch nicht bereit.


eye home zur Startseite
tundracomp 21. Sep 2014

Leider ist es nach vielen Jahren noch immer so, dass man die besten Ergebnisse IMHO mit...

UNIXOID 19. Sep 2014

Wer Fremdquellen einbindet, ist »schwups« selbst daran schuld, ein inkonsistentes System...

jonny-boy 19. Sep 2014

Meiner Meinung nach können freie Programme zwar durchaus gute Alternativen zu bestimmten...

__destruct() 18. Sep 2014

Wie wird dieser denn falsch ausgewertet?



Anzeige

Stellenmarkt
  1. Continental AG, Hannover
  2. Robert Bosch GmbH, Plochingen
  3. Infokom GmbH, Karlsruhe und Bad Nauheim
  4. imbus AG, Norderstedt, Köln, Hofheim am Taunus, München, Möhrendorf


Anzeige
Spiele-Angebote
  1. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. 69,99€/149,99€/79,99€ (Vorbesteller-Preisgarantie)
  3. 149,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Tipps für IT-Engagement in Fernost


  1. Kartendienst

    Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here

  2. Killerspiel-Debatte

    ProSieben Maxx stoppt Übertragungen von Counter-Strike

  3. Mehr Breitband für mich (MBfm)

    Telekom-FTTH kostet über 250.000 Euro

  4. Zuckerbergs Plan geht auf

    Facebook strotzt vor Kraft und Geld

  5. Headlander im Kurztest

    Galaktisches Abenteuer mit Köpfchen

  6. Industrie- und Handelskammern

    1&1 Versatel bekommt Großauftrag für Glasfaser

  7. Chakracore

    Javascript-Engine von Edge-Browser läuft auf OS X und Linux

  8. Kinderroboter Myon

    Einauge lernt, Einauge hat Körper

  9. Passwort Manager

    Lastpass behebt kritische Lücke

  10. Fest angestellt

    Wie viele Informatiker es in Deutschland gibt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Huawei Matebook im Test: Guter Laptop-Ersatz mit zu starker Konkurrenz
Huawei Matebook im Test
Guter Laptop-Ersatz mit zu starker Konkurrenz
  1. Netze Huawei steigert Umsatz stark
  2. Huawei Österreich führt Hybridtechnik ein
  3. Huawei Deutsche Telekom testet LTE-V auf der A9

Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte

  1. Re: Blitz (Film)

    foobar_germany | 16:13

  2. Re: Microsoft könnte Steam / Valve kaufen, ...

    Cok3.Zer0 | 16:12

  3. Re: Oh, mit "Seht her ich bin was tolles"-Lackierung

    pierrot | 16:11

  4. Fußball verbieten

    Vollstrecker | 16:11

  5. Re: Der Preis ist doch kein Wunder. Das geht...

    lord.dodoka | 16:11


  1. 15:58

  2. 15:42

  3. 15:31

  4. 14:42

  5. 14:00

  6. 12:37

  7. 12:29

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel