Abo
  • Services:
Anzeige
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt.
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt. (Bild: DebianArt / manel)

Apt: Buffer Overflow in Debians Paketmanagement

Im von Debian und Ubuntu verwendeten Paketmanagement Apt ist ein sicherheitskritischer Fehler entdeckt worden. Es ist bereits das zweite Mal in kurzer Zeit, dass Apt Sicherheitsprobleme hat.

Anzeige

Zum zweiten Mal innerhalb kurzer Zeit müssen die Entwickler der Linux-Distribution Debian einen sicherheitskritischen Fehler im Paketmanagement Apt vermelden. Auch Ubuntu ist betroffen. Ein Buffer Overflow kann im schlimmsten Fall dazu führen, dass ein Angreifer bösartigen Code ausführen kann. Ein Update steht inzwischen bereit.

Der Fehler hat die ID CVE-2014-6273 erhalten. Entdeckt wurde er von Googles Sicherheitsteam. Vor etwa einer Woche hatte Apt bereits ein Update erhalten, um eine Sicherheitslücke bei der Prüfung von Paketsignaturen zu beheben. Die jetzige Lücke dürfte noch gravierender sein, die Details sind allerdings noch nicht bekannt.

Mittels eines Man-in-the-Middle-Angriffs könnte ein Angreifer bei einem Update oder der Installation von neuen Paketen entsprechend präparierte Pakete einschleusen, die den Buffer Overflow auslösen. Da das Paketmanagement mit Root-Rechten läuft, hätte in diesem Fall ein Angreifer die Möglichkeit, die vollständige Kontrolle über das betroffene System zu erhalten.

Im stabilen Distributionszweig Debian 7 (Codename Wheezy) ist der Fehler in Version 0.9.7.9+deb7u5 korrigiert. In der aktuellen Ubuntu-Version 14.04 (Codename Trusty Tahr) tragen die korrigierten Apt-Pakete die Versionsnummer 1.0.1ubuntu2.4.1. Auch für ältere Ubuntu- und Debian-Versionen stehen Updates bereit. Andere Distributionen wie Linux Mint, die ebenfalls das Apt-Paketmanagement benutzen, sind wahrscheinlich auch betroffen. Da das Update selbst als Angriffsvektor genutzt werden kann, sollten die Aktualisierungen nach Möglichkeit in einem vertrauenswürdigen Netzwerk durchgeführt werden.

Nachtrag vom 29. September 2014, 14:52 Uhr Mehrere Leser haben uns darauf hingewiesen, dass die Apt-Pakete in aktuellen Debian- und Ubuntu-Versionen mit der GCC-Option FORTIFY_SOURCE kompiliert wurden. Dadurch wird das Ausnutzen von Buffer Overflows erschwert, es ist aber dennoch nicht auszuschließen, dass ein System durch diese Sicherheitslücke angegriffen wird.


eye home zur Startseite
hannob (golem.de) 29. Sep 2014

Ist zwar schon etwas älter, aber wir haben jetzt im Artikel noch einen Nachtrag...

FreiGeistler 24. Sep 2014

War das jetzt ironisch gemeint oder bist du wirklich so paranoid? ; )

holminger 24. Sep 2014

Das was Du und alle anderen normalen User als Lesen bezeichnen, sind eigentlich zwei...

der_wahre_hannes 24. Sep 2014

Ne, die benutzten noch ISDN. :D

Heretic 24. Sep 2014

Setz wenigstens ... sonst nimmt das noch jemand ernst und lässt dich einweisen.



Anzeige

Stellenmarkt
  1. Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), Bonn
  2. Harvey Nash GmbH, Baden-Baden
  3. Bundeskriminalamt, Berlin
  4. azh GmbH, Aschheim Raum München


Anzeige
Top-Angebote
  1. 99,99€ mit Vorbesteller-Preisgarantie (NUR 1 Stück pro Kunde!)
  2. 23,94€
  3. 15,99€

Folgen Sie uns
       


  1. Qualcomm

    Snapdragon 450 unterstützt Iris-Scan

  2. Google Daydream

    Qualcomm verrät Details zu Standalone-Headsets

  3. Frontier Development

    Weltraumspiel Elite Dangerous für PS4 erhältlich

  4. Petya-Ransomware

    Maersk, Rosneft und die Ukraine mit Ransomware angegriffen

  5. Nach Einigung

    Bündnis hält Facebook-Gesetz weiterhin für gefährlich

  6. SNES Classic Mini

    Nintendo produziert zweite Retrokonsole in höherer Stückzahl

  7. 5 GHz

    T-Mobile startet LTE-U im WLAN-Spektrum mehrerer US-Städte

  8. Dirt 4 im Test

    Vom Fahrschüler zum Rallye-Weltmeister

  9. Ende der Störerhaftung

    Koalition ersetzt Abmahnkosten durch Netzsperren

  10. NNabla

    Sony gibt Deep-Learning-Bibliothek frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Stehpult ausprobiert: Aufstehen gegen Rückenschmerzen
Stehpult ausprobiert
Aufstehen gegen Rückenschmerzen
  1. Stellenmarkt Softwareentwickler haben nicht die bestbezahlten IT-Jobs
  2. Looksee Wellington Neuseeland zieht mehr IT-Experten an
  3. Jobs Deutschland kann seinen IT-Fachkräftemangel selbst lösen

Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s

  1. Re: Und wieviele Mobilfunkstandorte versorgt die...

    Ovaron | 07:22

  2. Re: Intel macht das, was AMD nachgesagt wurde

    Ach | 07:20

  3. Re: Antworten

    Ovaron | 07:18

  4. Re: Crossplay?

    ArcherV | 07:15

  5. Re: Vergleich zur X Serie

    ArcherV | 07:14


  1. 06:00

  2. 02:00

  3. 17:35

  4. 17:01

  5. 16:44

  6. 16:11

  7. 15:16

  8. 14:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel