Abo
  • IT-Karriere:

Apt: Buffer Overflow in Debians Paketmanagement

Im von Debian und Ubuntu verwendeten Paketmanagement Apt ist ein sicherheitskritischer Fehler entdeckt worden. Es ist bereits das zweite Mal in kurzer Zeit, dass Apt Sicherheitsprobleme hat.

Artikel veröffentlicht am , Hanno Böck
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt.
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt. (Bild: DebianArt / manel)

Zum zweiten Mal innerhalb kurzer Zeit müssen die Entwickler der Linux-Distribution Debian einen sicherheitskritischen Fehler im Paketmanagement Apt vermelden. Auch Ubuntu ist betroffen. Ein Buffer Overflow kann im schlimmsten Fall dazu führen, dass ein Angreifer bösartigen Code ausführen kann. Ein Update steht inzwischen bereit.

Stellenmarkt
  1. BWI GmbH, Nürnberg, Bonn, Berlin, München
  2. Securiton GmbH Alarm- und Sicherheitssysteme, Achern

Der Fehler hat die ID CVE-2014-6273 erhalten. Entdeckt wurde er von Googles Sicherheitsteam. Vor etwa einer Woche hatte Apt bereits ein Update erhalten, um eine Sicherheitslücke bei der Prüfung von Paketsignaturen zu beheben. Die jetzige Lücke dürfte noch gravierender sein, die Details sind allerdings noch nicht bekannt.

Mittels eines Man-in-the-Middle-Angriffs könnte ein Angreifer bei einem Update oder der Installation von neuen Paketen entsprechend präparierte Pakete einschleusen, die den Buffer Overflow auslösen. Da das Paketmanagement mit Root-Rechten läuft, hätte in diesem Fall ein Angreifer die Möglichkeit, die vollständige Kontrolle über das betroffene System zu erhalten.

Im stabilen Distributionszweig Debian 7 (Codename Wheezy) ist der Fehler in Version 0.9.7.9+deb7u5 korrigiert. In der aktuellen Ubuntu-Version 14.04 (Codename Trusty Tahr) tragen die korrigierten Apt-Pakete die Versionsnummer 1.0.1ubuntu2.4.1. Auch für ältere Ubuntu- und Debian-Versionen stehen Updates bereit. Andere Distributionen wie Linux Mint, die ebenfalls das Apt-Paketmanagement benutzen, sind wahrscheinlich auch betroffen. Da das Update selbst als Angriffsvektor genutzt werden kann, sollten die Aktualisierungen nach Möglichkeit in einem vertrauenswürdigen Netzwerk durchgeführt werden.

Nachtrag vom 29. September 2014, 14:52 Uhr Mehrere Leser haben uns darauf hingewiesen, dass die Apt-Pakete in aktuellen Debian- und Ubuntu-Versionen mit der GCC-Option FORTIFY_SOURCE kompiliert wurden. Dadurch wird das Ausnutzen von Buffer Overflows erschwert, es ist aber dennoch nicht auszuschließen, dass ein System durch diese Sicherheitslücke angegriffen wird.



Anzeige
Spiele-Angebote
  1. (-77%) 11,50€
  2. 2,19€
  3. 26,99€
  4. (-75%) 3,75€

hannob (golem.de) 29. Sep 2014

Ist zwar schon etwas älter, aber wir haben jetzt im Artikel noch einen Nachtrag...

FreiGeistler 24. Sep 2014

War das jetzt ironisch gemeint oder bist du wirklich so paranoid? ; )

holminger 24. Sep 2014

Das was Du und alle anderen normalen User als Lesen bezeichnen, sind eigentlich zwei...

der_wahre_hannes 24. Sep 2014

Ne, die benutzten noch ISDN. :D

Heretic 24. Sep 2014

Setz wenigstens ... sonst nimmt das noch jemand ernst und lässt dich einweisen.


Folgen Sie uns
       


Raspberry Pi 4B vorgestellt

Nicht jedem dürften die Änderungen gefallen: Denn zwangsläufig wird auch neues Zubehör fällig.

Raspberry Pi 4B vorgestellt Video aufrufen
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /