• IT-Karriere:
  • Services:

Studie: Linux-Paketmanager lassen sich angreifen

Forscher untersuchen BSD- und Linux-Systeme

Paketverwaltungen unter Linux- und BSD-Systemen lassen sich einfach angreifen, um so beispielsweise Sicherheitslücken zu implementieren. Zu diesem Schluss kommen Forscher der Universität Arizona in ihrer Studie. Dafür haben sie selbst einen manipulierten Mirror-Server aufgesetzt.

Artikel veröffentlicht am , Julius Stiebert

Zwar werden Linux-Anwender über die gängigen Paketmanagementsysteme wie Apt und Yum schnell und komfortabel mit Sicherheitsupdates versorgt. Den Systemen blind zu vertrauen, sei aber blauäugig, meinen Forscher der Universität Arizona, die sich mit Angriffen auf Paketmanager beschäftigt haben.

Stellenmarkt
  1. Hays AG, Rosenheim
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr

Die meisten Paketmanagementsysteme setzen mittlerweile auf signierte Pakete oder Repositorys. Es sei aber durchaus möglich, korrekt signierte, aber veraltete Pakete auszuliefern. Speziell wenn diese Sicherheitslücken enthalten, öffnet dies die Möglichkeit für Angriffe. Es reiche aus, dem Paketmanager eine veraltete Paketliste auszuliefern, um ihn zu überreden, Software aus dem Repository zu installieren.

In die offiziellen Mirror-Listen der Distributoren aufgenommen zu werden, sei nicht allzu schwer. Denn die Distributoren prüfen die Mirror-Betreiber gar nicht oder nur unzureichend. So ist es den Forschern nach eigenen Angaben gelungen, ihren Server unter einem erfundenen Firmennamen zu betreiben und damit zum offiziellen Mirror-Server für CentOS, Debian, Fedora, OpenSuse und Ubuntu zu werden. Von diesen hätten tausende Nutzer Pakete abgerufen - inklusive Rechnern des US-Militärs und der US-Regierung. Zwar prüfen einige Distributoren den Inhalt der Server, es sei aber kein Problem, unterschiedliche Datenbestände auszuliefern. So sei es möglich, Anwender komplett daran zu hindern, sich Sicherheitsaktualisierungen zu installieren. Bei Systemen, die unsignierte Metadaten verwenden, seien sogar noch weitere Angriffe denkbar.

Die Autoren der Studie raten unter anderem dazu, nur Repositorys von vertrauenswürdigen Organisationen wie Universitäten einzusetzen. Ferner sollten sich Anwender selbst über Sicherheitsupdates informieren und diese manuell installieren. Um Man-in-the-Middle-Angriffen vorzubeugen, sollte zusätzlich eine verschlüsselte Verbindung zwischen Repository und eigenem Computer verwendet werden.

Der von den Wissenschaftlern entwickelte Paketmanager Stork soll diese Probleme langfristig lösen - vorausgesetzt, Linux-Distributionen setzen diesen ein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Acer CB342CKsmiiphzx 34-Zoll-LED UWQHD IPS FreeSync HDR 75Hz für 279,97€ (Deal des...
  2. 470,37€ (Vergleichspreis 497,19€)
  3. 119,90€ (Bestpreis!)

cjve0z3KFjRWfgs... 22. Mai 2009

Schön, dass es sich wenigstens untersuchen lässt. Deinem Windows musst du leider blind...

so ein Idiot 10. Feb 2009

Offenbar wachsen Sackhaare im Netz nicht so schnell wie in Wirklichkeit... selten so ein...

__) 04. Nov 2008

Nunja nun wird die Unix Welt halt von Angriffen betroffen werden und zwar ein wenig mehr...

Deppen-Hasser... 16. Jul 2008

Ja klar und irgendwann gibts wieder keine Mirrors weil man ja eh alles vom Hauptserver...

zuhans 16. Jul 2008

du musst lesen lernen! es ist eher die berechtigte ablehnung eines billigen schuld...


Folgen Sie uns
       


Thinkpad Trackpoint Keyboard 2 im Test: Tolle kompakte Tastatur für Thinkpad-Fans
Thinkpad Trackpoint Keyboard 2 im Test
Tolle kompakte Tastatur für Thinkpad-Fans

Lenovos externe Thinkpad-Tastatur bietet alle Vorteile der Tastatur eines Thinkpad-Notebooks. Sie arbeitet drahtlos und mit Akkutechnik.
Ein Test von Ingo Pakalski

  1. Thinkpad X1 Fold Das faltbare Thinkpad kommt im Oktober
  2. Thinkpad X1 Nano Lenovo macht das Carbon winzig
  3. Thinkpad E14 Gen2 (AMD) im Test Gelungener Ryzen-Laptop für 700 Euro

Tutorial: Was ein On Screen Display alles kann
Tutorial
Was ein On Screen Display alles kann

Werkzeugkasten Viele PC-Spieler schwören auf ein OSD. Denn damit lassen sich Limits erkennen, die Bildqualität verbessern und Ruckler verringern.
Von Marc Sauter


    IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
    IT-Jobs
    Die schwierige Suche nach dem richtigen Arbeitgeber

    Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
    Von Peter Ilg

    1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
    2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
    3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

      •  /