Abo
  • Services:
Anzeige
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung.
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung. (Bild: Debian)

Paketverwaltung: Apt mit Lücken bei der Validierung

Der Paketmanager Apt hat eine Reihe von Lücken bei der Validierung von Paketen. Aktualisierungen für die Linux-Distributionen Debian und Ubuntu stehen inzwischen bereit.

Anzeige

Wie die Sicherheitsteams von Debian und Ubuntu bekanntgeben, weist die von beiden Distributionen genutzte Paketverwaltung Apt eine Reihe von Lücken bei der Validierung von Paketen auf. Für die stabilen Zweige der beiden Distributionen, Debian Wheezy und Squeeze sowie die verschiedenen Ubuntu-LTS-Versionen, stehen Updates bereit. Debian Testing alias Jessie wird das aktualisierte Paket aus Sid bekommen. Das in Entwicklung befindliche Ubuntu 14.10 alias Utopic Unicorn verfügt ebenso über Pakete ohne die Lücken.

Konkret überprüft Apt die Signaturen nicht korrekt, die mit apt-get download heruntergeladen, aber noch nicht installiert worden sind. Dadurch könnten auch Pakete mit ungültigen Signaturen akzeptiert werden, was eine Manipulation durch Dritte ermöglichen könnte. Dies ist ebenfalls durch eine Lücke in der Option Acquire::GzipIndexes möglich, welche die Validierung der Prüfsumme überspringt. Unter Ubuntu ist diese Option aber nicht standardmäßig aktiviert.

Wechselt Apt von einem nicht authentifizierten in einen authentifizierten Zustand, werden vorher bereits heruntergeladene Daten der Paketquellen nicht für ungültig erklärt und neu angelegt, wodurch Sicherheitsrichtlinien umgangen werden können. Zusätzlich dazu ist das Umgehen durch eine falsche Auswertung des HTTP-Statuscodes 304 möglich. Dieser beschreibt, dass die Quelle seit dem letzten Aufruf nicht verändert worden ist.

Es ist davon auszugehen, dass auch andere Distributionen, die direkt oder indirekt auf Debian und Ubuntu aufbauen, wie etwa Linux Mint, ebenfalls von den Fehlern betroffen sind. Informationen dazu stehen aber noch nicht bereit.


eye home zur Startseite
tundracomp 21. Sep 2014

Leider ist es nach vielen Jahren noch immer so, dass man die besten Ergebnisse IMHO mit...

UNIXOID 19. Sep 2014

Wer Fremdquellen einbindet, ist »schwups« selbst daran schuld, ein inkonsistentes System...

jonny-boy 19. Sep 2014

Meiner Meinung nach können freie Programme zwar durchaus gute Alternativen zu bestimmten...

__destruct() 18. Sep 2014

Wie wird dieser denn falsch ausgewertet?



Anzeige

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. TE Connectivity Germany GmbH, Bensheim
  3. Robert Bosch GmbH, Leonberg
  4. HOHENFRIED e.V., Bayerisch Gmain


Anzeige
Blu-ray-Angebote
  1. (u. a. House of Wax, Der Polarexpress, Gravity, Mad Max)
  2. (u. a. Der Schuh des Manitu, Agenten sterben einsam, Space Jam, Dark City)
  3. (u. a. Gremlins 1+2 8,90€, Ace Ventura 1&2 8,90€, Kill the Boss 1+2 8,90€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Project Mortar

    Mozilla möchte Chrome-Plugins für Firefox unterstützen

  2. Remedy

    Steam-Version von Quantum Break läuft bei Nvidia flotter

  3. Videostreaming

    Twitch Premium wird Teil von Amazon Prime

  4. Dark Souls & Co.

    Tausende Tode vor Tausenden von Zuschauern

  5. Die Woche im Video

    Grüne Welle und grüne Männchen

  6. Systemd.conf 2016

    Pläne für portable Systemdienste und neue Kernel-IPC

  7. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  8. Internetsicherheit

    Die CDU will Cybersouverän werden

  9. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  10. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mi Notebook Air im Test: Xiaomis geglückte Notebook-Premiere
Mi Notebook Air im Test
Xiaomis geglückte Notebook-Premiere
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App
  3. Xiaomi Hugo Barra verkündet Premium-Smartphone

DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

Fifa 17 im Test: Mehr Drama auf dem Fußballplatz
Fifa 17 im Test
Mehr Drama auf dem Fußballplatz
  1. Fifa 17 Was macht Dragon Age in meiner Fifa-Demo?
  2. Electronic Arts Millionenliga mit dem Ultimate Team
  3. Fifa 17 Sonderpartnerschaft mit den Bayern

  1. Re: Ein Beispiel woraus man lernen könnte

    lear | 13:48

  2. Re: 100 PS und 500 km Reichweite wären völlig...

    siola | 13:47

  3. Man könnte sich auch zusammen tun

    Scorcher24 | 13:46

  4. Re: Riskanter Neuanfang

    Trockenobst | 13:41

  5. Wenn das so weiter geht gibt es nur noch einen...

    toastedLinux | 13:33


  1. 13:15

  2. 12:30

  3. 11:45

  4. 11:04

  5. 09:02

  6. 08:01

  7. 19:24

  8. 19:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel