Abo
  • Services:

Studie: Linux-Paketmanager lassen sich angreifen

Forscher untersuchen BSD- und Linux-Systeme

Paketverwaltungen unter Linux- und BSD-Systemen lassen sich einfach angreifen, um so beispielsweise Sicherheitslücken zu implementieren. Zu diesem Schluss kommen Forscher der Universität Arizona in ihrer Studie. Dafür haben sie selbst einen manipulierten Mirror-Server aufgesetzt.

Artikel veröffentlicht am , Julius Stiebert

Zwar werden Linux-Anwender über die gängigen Paketmanagementsysteme wie Apt und Yum schnell und komfortabel mit Sicherheitsupdates versorgt. Den Systemen blind zu vertrauen, sei aber blauäugig, meinen Forscher der Universität Arizona, die sich mit Angriffen auf Paketmanager beschäftigt haben.

Stellenmarkt
  1. SITEMA GmbH & Co. KG, Karlsruhe
  2. parcIT GmbH, Köln

Die meisten Paketmanagementsysteme setzen mittlerweile auf signierte Pakete oder Repositorys. Es sei aber durchaus möglich, korrekt signierte, aber veraltete Pakete auszuliefern. Speziell wenn diese Sicherheitslücken enthalten, öffnet dies die Möglichkeit für Angriffe. Es reiche aus, dem Paketmanager eine veraltete Paketliste auszuliefern, um ihn zu überreden, Software aus dem Repository zu installieren.

In die offiziellen Mirror-Listen der Distributoren aufgenommen zu werden, sei nicht allzu schwer. Denn die Distributoren prüfen die Mirror-Betreiber gar nicht oder nur unzureichend. So ist es den Forschern nach eigenen Angaben gelungen, ihren Server unter einem erfundenen Firmennamen zu betreiben und damit zum offiziellen Mirror-Server für CentOS, Debian, Fedora, OpenSuse und Ubuntu zu werden. Von diesen hätten tausende Nutzer Pakete abgerufen - inklusive Rechnern des US-Militärs und der US-Regierung. Zwar prüfen einige Distributoren den Inhalt der Server, es sei aber kein Problem, unterschiedliche Datenbestände auszuliefern. So sei es möglich, Anwender komplett daran zu hindern, sich Sicherheitsaktualisierungen zu installieren. Bei Systemen, die unsignierte Metadaten verwenden, seien sogar noch weitere Angriffe denkbar.

Die Autoren der Studie raten unter anderem dazu, nur Repositorys von vertrauenswürdigen Organisationen wie Universitäten einzusetzen. Ferner sollten sich Anwender selbst über Sicherheitsupdates informieren und diese manuell installieren. Um Man-in-the-Middle-Angriffen vorzubeugen, sollte zusätzlich eine verschlüsselte Verbindung zwischen Repository und eigenem Computer verwendet werden.

Der von den Wissenschaftlern entwickelte Paketmanager Stork soll diese Probleme langfristig lösen - vorausgesetzt, Linux-Distributionen setzen diesen ein.



Anzeige
Hardware-Angebote
  1. ab 349€
  2. bei Alternate kaufen
  3. 449€ + Versand

cjve0z3KFjRWfgs... 22. Mai 2009

Schön, dass es sich wenigstens untersuchen lässt. Deinem Windows musst du leider blind...

so ein Idiot 10. Feb 2009

Offenbar wachsen Sackhaare im Netz nicht so schnell wie in Wirklichkeit... selten so ein...

__) 04. Nov 2008

Nunja nun wird die Unix Welt halt von Angriffen betroffen werden und zwar ein wenig mehr...

Deppen-Hasser... 16. Jul 2008

Ja klar und irgendwann gibts wieder keine Mirrors weil man ja eh alles vom Hauptserver...

zuhans 16. Jul 2008

du musst lesen lernen! es ist eher die berechtigte ablehnung eines billigen schuld...


Folgen Sie uns
       


Nach E-Fail, was tun ohne sichere E-Mails - Livestream

Die E-Fail genannte Sicherheitslücke betrifft die standardisierten E-Mail-Verschlüsselungsverfahren OpenPGP und S/MIME. Im Livestream diskutieren wir den technischen Hintergrund der zuletzt aufgedeckten Lücken und besprechen, was Nutzer nun tun können, wenn sie ihre Nachrichten weiter sicher verschicken wollen.

Nach E-Fail, was tun ohne sichere E-Mails - Livestream Video aufrufen
Kailh KS-Switch im Test: Die bessere Alternative zu Cherrys MX Blue
Kailh KS-Switch im Test
Die bessere Alternative zu Cherrys MX Blue

Der chinesische Hersteller Kailh fertigt seit fast 30 Jahren verschiedenste Arten von Schaltern, unter anderem auch Klone von Cherry-MX-Switches für Tastaturen. Der KS-Switch mit goldenem Stempel und markantem Klick ist dabei die bessere Alternative zu Cherrys eigenem MX Blue, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Apple-Patent Krümel sollen Macbook-Tastatur nicht mehr stören
  2. Tastaturen Matias bringt Alternative zum Apple Wired Keyboard
  3. Rubberdome-Tastaturen im Test Das Gummi ist nicht dein Feind

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    Indiegames-Rundschau: Kampfkrieger und Abenteuer in 1001 Nacht
    Indiegames-Rundschau
    Kampfkrieger und Abenteuer in 1001 Nacht

    Battletech schickt Spieler in toll inszenierte Strategieschlachten, eine königliche Fantasywelt und Abenteuer im Orient: Unsere Rundschau stellt diesmal besonders spannende Indiegames vor.
    Von Rainer Sigl

    1. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis
    2. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
    3. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte

      •  /