Abo
  • Services:
Anzeige

Studie: Linux-Paketmanager lassen sich angreifen

Forscher untersuchen BSD- und Linux-Systeme

Paketverwaltungen unter Linux- und BSD-Systemen lassen sich einfach angreifen, um so beispielsweise Sicherheitslücken zu implementieren. Zu diesem Schluss kommen Forscher der Universität Arizona in ihrer Studie. Dafür haben sie selbst einen manipulierten Mirror-Server aufgesetzt.

Zwar werden Linux-Anwender über die gängigen Paketmanagementsysteme wie Apt und Yum schnell und komfortabel mit Sicherheitsupdates versorgt. Den Systemen blind zu vertrauen, sei aber blauäugig, meinen Forscher der Universität Arizona, die sich mit Angriffen auf Paketmanager beschäftigt haben.

Anzeige

Die meisten Paketmanagementsysteme setzen mittlerweile auf signierte Pakete oder Repositorys. Es sei aber durchaus möglich, korrekt signierte, aber veraltete Pakete auszuliefern. Speziell wenn diese Sicherheitslücken enthalten, öffnet dies die Möglichkeit für Angriffe. Es reiche aus, dem Paketmanager eine veraltete Paketliste auszuliefern, um ihn zu überreden, Software aus dem Repository zu installieren.

In die offiziellen Mirror-Listen der Distributoren aufgenommen zu werden, sei nicht allzu schwer. Denn die Distributoren prüfen die Mirror-Betreiber gar nicht oder nur unzureichend. So ist es den Forschern nach eigenen Angaben gelungen, ihren Server unter einem erfundenen Firmennamen zu betreiben und damit zum offiziellen Mirror-Server für CentOS, Debian, Fedora, OpenSuse und Ubuntu zu werden. Von diesen hätten tausende Nutzer Pakete abgerufen - inklusive Rechnern des US-Militärs und der US-Regierung. Zwar prüfen einige Distributoren den Inhalt der Server, es sei aber kein Problem, unterschiedliche Datenbestände auszuliefern. So sei es möglich, Anwender komplett daran zu hindern, sich Sicherheitsaktualisierungen zu installieren. Bei Systemen, die unsignierte Metadaten verwenden, seien sogar noch weitere Angriffe denkbar.

Die Autoren der Studie raten unter anderem dazu, nur Repositorys von vertrauenswürdigen Organisationen wie Universitäten einzusetzen. Ferner sollten sich Anwender selbst über Sicherheitsupdates informieren und diese manuell installieren. Um Man-in-the-Middle-Angriffen vorzubeugen, sollte zusätzlich eine verschlüsselte Verbindung zwischen Repository und eigenem Computer verwendet werden.

Der von den Wissenschaftlern entwickelte Paketmanager Stork soll diese Probleme langfristig lösen - vorausgesetzt, Linux-Distributionen setzen diesen ein.


eye home zur Startseite
cjve0z3KFjRWfgs... 22. Mai 2009

Schön, dass es sich wenigstens untersuchen lässt. Deinem Windows musst du leider blind...

so ein Idiot 10. Feb 2009

Offenbar wachsen Sackhaare im Netz nicht so schnell wie in Wirklichkeit... selten so ein...

__) 04. Nov 2008

Nunja nun wird die Unix Welt halt von Angriffen betroffen werden und zwar ein wenig mehr...

Deppen-Hasser... 16. Jul 2008

Ja klar und irgendwann gibts wieder keine Mirrors weil man ja eh alles vom Hauptserver...

zuhans 16. Jul 2008

du musst lesen lernen! es ist eher die berechtigte ablehnung eines billigen schuld...



Anzeige

Stellenmarkt
  1. Universitätsklinikum Bonn, Bonn
  2. Bundeskriminalamt, Wiesbaden
  3. Nordischer Maschinenbau Rud. Baader GmbH & Co. KG, Lübeck
  4. W&W Asset Management GmbH, Ludwigsburg


Anzeige
Hardware-Angebote
  1. 569€ + 5,99€ Versand
  2. ab 649,90€

Folgen Sie uns
       


  1. Mate 10 Pro im Test

    Starkes Smartphone mit noch unauffälliger KI

  2. Diamond Omega

    Randloses Topsmartphone mit zwei Dual-Kameras für 500 Euro

  3. Adobe

    Deep Fill denkt beim Retuschieren Bildelemente dazu

  4. Elektroautos

    Tesla will Autos in China bauen

  5. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  6. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  7. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  8. Spieleklassiker

    Mafia digital bei GoG erhältlich

  9. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  10. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Re: Bahn schneller machen

    chefin | 09:40

  2. Re: Auch hier wieder die Frage:

    david_rieger | 09:40

  3. KI - mal wieder so ein Trendwort

    meinoriginaluse... | 09:40

  4. Re: "Das eröffnet Bildfälschern viele Möglichkeiten."

    TheDragon | 09:39

  5. Re: halb so schlimm

    Bouncy | 09:38


  1. 09:00

  2. 07:49

  3. 07:43

  4. 07:12

  5. 14:50

  6. 13:27

  7. 11:25

  8. 17:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel