Abo
  • IT-Karriere:

Apt: Buffer Overflow in Debians Paketmanagement

Im von Debian und Ubuntu verwendeten Paketmanagement Apt ist ein sicherheitskritischer Fehler entdeckt worden. Es ist bereits das zweite Mal in kurzer Zeit, dass Apt Sicherheitsprobleme hat.

Artikel veröffentlicht am , Hanno Böck
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt.
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt. (Bild: DebianArt / manel)

Zum zweiten Mal innerhalb kurzer Zeit müssen die Entwickler der Linux-Distribution Debian einen sicherheitskritischen Fehler im Paketmanagement Apt vermelden. Auch Ubuntu ist betroffen. Ein Buffer Overflow kann im schlimmsten Fall dazu führen, dass ein Angreifer bösartigen Code ausführen kann. Ein Update steht inzwischen bereit.

Stellenmarkt
  1. Amprion GmbH, Pulheim-Brauweiler
  2. ViGEM GmbH, Karlsruhe

Der Fehler hat die ID CVE-2014-6273 erhalten. Entdeckt wurde er von Googles Sicherheitsteam. Vor etwa einer Woche hatte Apt bereits ein Update erhalten, um eine Sicherheitslücke bei der Prüfung von Paketsignaturen zu beheben. Die jetzige Lücke dürfte noch gravierender sein, die Details sind allerdings noch nicht bekannt.

Mittels eines Man-in-the-Middle-Angriffs könnte ein Angreifer bei einem Update oder der Installation von neuen Paketen entsprechend präparierte Pakete einschleusen, die den Buffer Overflow auslösen. Da das Paketmanagement mit Root-Rechten läuft, hätte in diesem Fall ein Angreifer die Möglichkeit, die vollständige Kontrolle über das betroffene System zu erhalten.

Im stabilen Distributionszweig Debian 7 (Codename Wheezy) ist der Fehler in Version 0.9.7.9+deb7u5 korrigiert. In der aktuellen Ubuntu-Version 14.04 (Codename Trusty Tahr) tragen die korrigierten Apt-Pakete die Versionsnummer 1.0.1ubuntu2.4.1. Auch für ältere Ubuntu- und Debian-Versionen stehen Updates bereit. Andere Distributionen wie Linux Mint, die ebenfalls das Apt-Paketmanagement benutzen, sind wahrscheinlich auch betroffen. Da das Update selbst als Angriffsvektor genutzt werden kann, sollten die Aktualisierungen nach Möglichkeit in einem vertrauenswürdigen Netzwerk durchgeführt werden.

Nachtrag vom 29. September 2014, 14:52 Uhr Mehrere Leser haben uns darauf hingewiesen, dass die Apt-Pakete in aktuellen Debian- und Ubuntu-Versionen mit der GCC-Option FORTIFY_SOURCE kompiliert wurden. Dadurch wird das Ausnutzen von Buffer Overflows erschwert, es ist aber dennoch nicht auszuschließen, dass ein System durch diese Sicherheitslücke angegriffen wird.



Anzeige
Hardware-Angebote
  1. 49,70€

hannob (golem.de) 29. Sep 2014

Ist zwar schon etwas älter, aber wir haben jetzt im Artikel noch einen Nachtrag...

FreiGeistler 24. Sep 2014

War das jetzt ironisch gemeint oder bist du wirklich so paranoid? ; )

holminger 24. Sep 2014

Das was Du und alle anderen normalen User als Lesen bezeichnen, sind eigentlich zwei...

der_wahre_hannes 24. Sep 2014

Ne, die benutzten noch ISDN. :D

Heretic 24. Sep 2014

Setz wenigstens ... sonst nimmt das noch jemand ernst und lässt dich einweisen.


Folgen Sie uns
       


Control - Fazit

Ballern in einer mysteriösen Behörde, seltsame Vorgänge und übernatürliche Kräfte: Das Actionspiel Control von Remedy Entertainment bietet spannende Unterhaltung.

Control - Fazit Video aufrufen
5G-Antenne in Berlin ausprobiert: Zu schnell, um nützlich zu sein
5G-Antenne in Berlin ausprobiert
Zu schnell, um nützlich zu sein

Neben einem unwirtlichen Parkplatz in Berlin-Adlershof befindet sich ein Knotenpunkt für den frühen 5G-Ausbau von Vodafone und Telekom. Wir sind hingefahren, um 5G selbst auszuprobieren, und kamen dabei ins Schwitzen.
Von Achim Sawall und Martin Wolf

  1. Tausende neue Nutzer Vodafone schafft Zuschlag für 5G ab
  2. Vodafone Callya Digital Prepaid-Tarif mit 10 GByte Datenvolumen kostet 20 Euro
  3. Kabelnetz Vodafone bekommt Netzüberlastung nicht in den Griff

Garmin Fenix 6 im Test: Laufzeitmonster mit Sonne im Herzen
Garmin Fenix 6 im Test
Laufzeitmonster mit Sonne im Herzen

Bis zu 24 Tage Akkulaufzeit, im Spezialmodus sogar bis zu 120 Tage: Garmin setzt bei seiner Sport- und Smartwatchserie Fenix 6 konsequent auf Akku-Ausdauer. Beim Ausprobieren haben uns neben einem System zur Stromgewinnung auch neue Energiesparoptionen interessiert.
Ein Test von Peter Steinlechner

  1. Fenix 6 Garmins Premium-Wearable hat ein Pairing-Problem
  2. Wearable Garmin Fenix 6 bekommt Solarstrom

Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


      •  /