Abo
  • Services:
Anzeige

Studie: Linux-Paketmanager lassen sich angreifen

Forscher untersuchen BSD- und Linux-Systeme

Paketverwaltungen unter Linux- und BSD-Systemen lassen sich einfach angreifen, um so beispielsweise Sicherheitslücken zu implementieren. Zu diesem Schluss kommen Forscher der Universität Arizona in ihrer Studie. Dafür haben sie selbst einen manipulierten Mirror-Server aufgesetzt.

Zwar werden Linux-Anwender über die gängigen Paketmanagementsysteme wie Apt und Yum schnell und komfortabel mit Sicherheitsupdates versorgt. Den Systemen blind zu vertrauen, sei aber blauäugig, meinen Forscher der Universität Arizona, die sich mit Angriffen auf Paketmanager beschäftigt haben.

Anzeige

Die meisten Paketmanagementsysteme setzen mittlerweile auf signierte Pakete oder Repositorys. Es sei aber durchaus möglich, korrekt signierte, aber veraltete Pakete auszuliefern. Speziell wenn diese Sicherheitslücken enthalten, öffnet dies die Möglichkeit für Angriffe. Es reiche aus, dem Paketmanager eine veraltete Paketliste auszuliefern, um ihn zu überreden, Software aus dem Repository zu installieren.

In die offiziellen Mirror-Listen der Distributoren aufgenommen zu werden, sei nicht allzu schwer. Denn die Distributoren prüfen die Mirror-Betreiber gar nicht oder nur unzureichend. So ist es den Forschern nach eigenen Angaben gelungen, ihren Server unter einem erfundenen Firmennamen zu betreiben und damit zum offiziellen Mirror-Server für CentOS, Debian, Fedora, OpenSuse und Ubuntu zu werden. Von diesen hätten tausende Nutzer Pakete abgerufen - inklusive Rechnern des US-Militärs und der US-Regierung. Zwar prüfen einige Distributoren den Inhalt der Server, es sei aber kein Problem, unterschiedliche Datenbestände auszuliefern. So sei es möglich, Anwender komplett daran zu hindern, sich Sicherheitsaktualisierungen zu installieren. Bei Systemen, die unsignierte Metadaten verwenden, seien sogar noch weitere Angriffe denkbar.

Die Autoren der Studie raten unter anderem dazu, nur Repositorys von vertrauenswürdigen Organisationen wie Universitäten einzusetzen. Ferner sollten sich Anwender selbst über Sicherheitsupdates informieren und diese manuell installieren. Um Man-in-the-Middle-Angriffen vorzubeugen, sollte zusätzlich eine verschlüsselte Verbindung zwischen Repository und eigenem Computer verwendet werden.

Der von den Wissenschaftlern entwickelte Paketmanager Stork soll diese Probleme langfristig lösen - vorausgesetzt, Linux-Distributionen setzen diesen ein.


eye home zur Startseite
cjve0z3KFjRWfgs... 22. Mai 2009

Schön, dass es sich wenigstens untersuchen lässt. Deinem Windows musst du leider blind...

so ein Idiot 10. Feb 2009

Offenbar wachsen Sackhaare im Netz nicht so schnell wie in Wirklichkeit... selten so ein...

__) 04. Nov 2008

Nunja nun wird die Unix Welt halt von Angriffen betroffen werden und zwar ein wenig mehr...

Deppen-Hasser... 16. Jul 2008

Ja klar und irgendwann gibts wieder keine Mirrors weil man ja eh alles vom Hauptserver...

zuhans 16. Jul 2008

du musst lesen lernen! es ist eher die berechtigte ablehnung eines billigen schuld...



Anzeige

Stellenmarkt
  1. ROHDE & SCHWARZ GmbH & Co. KG, München
  2. Robert Bosch GmbH, Abstatt
  3. NÜRNBERGER Lebensversicherung AG, Nürnberg
  4. ESG Elektroniksystem- und Logistik-GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer 8,79€, Blade Runner 8,97€, Interstellar 8,74€, X-Men Apocalypse 8,79€)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (u. a. Mission Impossible 1-5 Box 16,97€ und Death Race 1-3 9,94€ + 5€ FSK-18-Versand)

Folgen Sie uns
       


  1. Windows 10

    Microsoft will auf Zwangsupdates verzichten

  2. Brio 4K Streaming Edition

    Logitech-Kamera für Lets-Player und andere Streamer

  3. Vor Bundestagswahl

    Facebook löscht Zehntausende Spammer-Konten

  4. Bilderkennung von Google

    Erste Hinweise auf Lens in der Google-App

  5. Open Source

    Node.js-Führung zerstreitet sich über Code-of-Conduct

  6. Enigma ICO

    Kryptowährungshacker erbeuten halbe Million US-Dollar

  7. SNES Classic Mini

    Mario, Link und Samus machen den Moonwalk

  8. Bixby

    Samsungs Sprachassistent kommt auf Englisch nach Deutschland

  9. Apache-Lizenz 2.0

    OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

  10. Knights Mill

    Intels Xeon Phi hat 72 Kerne und etwas Netburst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
LG 34UC89G im Test: Wenn G-Sync und 166 Hertz nicht genug sind
LG 34UC89G im Test
Wenn G-Sync und 166 Hertz nicht genug sind
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. Gaming-Monitor Viewsonic XG 2530 im Test 240 Hertz, an die man sich gewöhnen kann
  3. SW271 Benq bringt HDR-Display mit 10-Bit-Panel

C64-Umbau mit dem Raspberry Pi: Die Wiedergeburt der Heimcomputer-Legende
C64-Umbau mit dem Raspberry Pi
Die Wiedergeburt der Heimcomputer-Legende

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  2. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  3. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten

  1. Es geht vieles - und das schon seit langer...

    MAD_onna | 05:58

  2. Re: Danke, alte Arbeitswelt!

    picaschaf | 05:51

  3. Re: Ich habe dutzende solcher gefälschten Konten...

    DY | 05:40

  4. Re: Wer hat's erfunden?

    recluce | 05:30

  5. Re: Kein uPlay Haltung ... Umsatz

    narfomat | 05:10


  1. 18:04

  2. 17:49

  3. 16:30

  4. 16:01

  5. 15:54

  6. 14:54

  7. 14:42

  8. 14:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel