Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Studie: Linux-Paketmanager lassen sich angreifen

Forscher untersuchen BSD- und Linux-Systeme. Paketverwaltungen unter Linux- und BSD-Systemen lassen sich einfach angreifen, um so beispielsweise Sicherheitslücken zu implementieren. Zu diesem Schluss kommen Forscher der Universität Arizona in ihrer Studie. Dafür haben sie selbst einen manipulierten Mirror-Server aufgesetzt.
/ Julius Stiebert
73 Kommentare News folgen (öffnet im neuen Fenster)

Zwar werden Linux-Anwender über die gängigen Paketmanagementsysteme wie Apt und Yum schnell und komfortabel mit Sicherheitsupdates versorgt. Den Systemen blind zu vertrauen, sei aber blauäugig, meinen Forscher der Universität Arizona, die sich mit Angriffen auf Paketmanager(öffnet im neuen Fenster) beschäftigt haben.

Die meisten Paketmanagementsysteme setzen mittlerweile auf signierte Pakete oder Repositorys. Es sei aber durchaus möglich, korrekt signierte, aber veraltete Pakete auszuliefern. Speziell wenn diese Sicherheitslücken enthalten, öffnet dies die Möglichkeit für Angriffe. Es reiche aus, dem Paketmanager eine veraltete Paketliste auszuliefern, um ihn zu überreden, Software aus dem Repository zu installieren.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Bürosachbearbeiterinnen / Bürosachbearbeiter (m/w/d) im Facility Management Auswärtiges Amt, Berlin (öffnet im neuen Fenster)
Leitung – Amt für Digitalisierung und IT (Wirtschaftsinformatik, angewandte Informatik oder Verwaltungsinformatik) Landkreis Rotenburg Haupt- und Personalamt, Rotenburg (Wümme),Homeoffice (öffnet im neuen Fenster)
Sachbearbeiter/in IT-Support (m/w/d) Landratsamt Göppingen, Göppingen (öffnet im neuen Fenster)
Produktingenieur (m/w/d) Ventilationsregelsysteme (VCS) in Karlsfeld bei München Nord-Micro GmbH & Co. KG, Frankfurt am Main (öffnet im neuen Fenster)
Software Developer Embedded Linux (m/w/d) Ambibox GmbH, Mainz (öffnet im neuen Fenster)
HPC-Leistungs- und Datenmanagement-Ingenieur*in (m/w/d) Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen, Göttingen (öffnet im neuen Fenster)
Software-Entwickler C#/Angular (m/w/d) Grollmus München GmbH, München (öffnet im neuen Fenster)
IT Security Analyst (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

In die offiziellen Mirror-Listen der Distributoren aufgenommen zu werden, sei nicht allzu schwer. Denn die Distributoren prüfen die Mirror-Betreiber gar nicht oder nur unzureichend. So ist es den Forschern nach eigenen Angaben gelungen, ihren Server unter einem erfundenen Firmennamen zu betreiben und damit zum offiziellen Mirror-Server für CentOS, Debian, Fedora, OpenSuse und Ubuntu zu werden. Von diesen hätten tausende Nutzer Pakete abgerufen – inklusive Rechnern des US-Militärs und der US-Regierung. Zwar prüfen einige Distributoren den Inhalt der Server, es sei aber kein Problem, unterschiedliche Datenbestände auszuliefern. So sei es möglich, Anwender komplett daran zu hindern, sich Sicherheitsaktualisierungen zu installieren. Bei Systemen, die unsignierte Metadaten verwenden, seien sogar noch weitere Angriffe(öffnet im neuen Fenster) denkbar.

Die Autoren der Studie raten unter anderem dazu, nur Repositorys von vertrauenswürdigen Organisationen wie Universitäten einzusetzen. Ferner sollten sich Anwender selbst über Sicherheitsupdates informieren und diese manuell installieren. Um Man-in-the-Middle-Angriffen vorzubeugen, sollte zusätzlich eine verschlüsselte Verbindung zwischen Repository und eigenem Computer verwendet werden.

Der von den Wissenschaftlern entwickelte Paketmanager Stork(öffnet im neuen Fenster) soll diese Probleme langfristig lösen – vorausgesetzt, Linux-Distributionen setzen diesen ein.

Zur Startseite 73 Kommentare

Relevante Themen

Open SourceLinuxSoftwareBetriebssystemeSecuritySicherheitslückeUpdates & PatchesCybercrimeWissen