Abo
  • Services:
Anzeige
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt.
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt. (Bild: DebianArt / manel)

Apt: Buffer Overflow in Debians Paketmanagement

Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt.
Erneut gefährdet eine Sicherheitslücke Debians Paketmanagement Apt. (Bild: DebianArt / manel)

Im von Debian und Ubuntu verwendeten Paketmanagement Apt ist ein sicherheitskritischer Fehler entdeckt worden. Es ist bereits das zweite Mal in kurzer Zeit, dass Apt Sicherheitsprobleme hat.

Zum zweiten Mal innerhalb kurzer Zeit müssen die Entwickler der Linux-Distribution Debian einen sicherheitskritischen Fehler im Paketmanagement Apt vermelden. Auch Ubuntu ist betroffen. Ein Buffer Overflow kann im schlimmsten Fall dazu führen, dass ein Angreifer bösartigen Code ausführen kann. Ein Update steht inzwischen bereit.

Anzeige

Der Fehler hat die ID CVE-2014-6273 erhalten. Entdeckt wurde er von Googles Sicherheitsteam. Vor etwa einer Woche hatte Apt bereits ein Update erhalten, um eine Sicherheitslücke bei der Prüfung von Paketsignaturen zu beheben. Die jetzige Lücke dürfte noch gravierender sein, die Details sind allerdings noch nicht bekannt.

Mittels eines Man-in-the-Middle-Angriffs könnte ein Angreifer bei einem Update oder der Installation von neuen Paketen entsprechend präparierte Pakete einschleusen, die den Buffer Overflow auslösen. Da das Paketmanagement mit Root-Rechten läuft, hätte in diesem Fall ein Angreifer die Möglichkeit, die vollständige Kontrolle über das betroffene System zu erhalten.

Im stabilen Distributionszweig Debian 7 (Codename Wheezy) ist der Fehler in Version 0.9.7.9+deb7u5 korrigiert. In der aktuellen Ubuntu-Version 14.04 (Codename Trusty Tahr) tragen die korrigierten Apt-Pakete die Versionsnummer 1.0.1ubuntu2.4.1. Auch für ältere Ubuntu- und Debian-Versionen stehen Updates bereit. Andere Distributionen wie Linux Mint, die ebenfalls das Apt-Paketmanagement benutzen, sind wahrscheinlich auch betroffen. Da das Update selbst als Angriffsvektor genutzt werden kann, sollten die Aktualisierungen nach Möglichkeit in einem vertrauenswürdigen Netzwerk durchgeführt werden.

Nachtrag vom 29. September 2014, 14:52 Uhr Mehrere Leser haben uns darauf hingewiesen, dass die Apt-Pakete in aktuellen Debian- und Ubuntu-Versionen mit der GCC-Option FORTIFY_SOURCE kompiliert wurden. Dadurch wird das Ausnutzen von Buffer Overflows erschwert, es ist aber dennoch nicht auszuschließen, dass ein System durch diese Sicherheitslücke angegriffen wird.


eye home zur Startseite
hannob (golem.de) 29. Sep 2014

Ist zwar schon etwas älter, aber wir haben jetzt im Artikel noch einen Nachtrag...

FreiGeistler 24. Sep 2014

War das jetzt ironisch gemeint oder bist du wirklich so paranoid? ; )

holminger 24. Sep 2014

Das was Du und alle anderen normalen User als Lesen bezeichnen, sind eigentlich zwei...

der_wahre_hannes 24. Sep 2014

Ne, die benutzten noch ISDN. :D

Heretic 24. Sep 2014

Setz wenigstens ... sonst nimmt das noch jemand ernst und lässt dich einweisen.



Anzeige

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. BSH Hausgeräte GmbH, Traunreut
  3. Robert Bosch GmbH, Schwieberdingen
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Blu-ray-Angebote
  1. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)
  2. (u. a. Hacksaw Ridge, Deadpool, Blade Runner, Kingsman, Arrival)
  3. 12,99€

Folgen Sie uns
       


  1. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  2. Cloud

    AWS bringt den Appstore für Serverless-Software

  3. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  4. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  5. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  6. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD

  7. Metal Gear Survive im Test

    Himmelfahrtskommando ohne Solid Snake

  8. Cloud IoT Core

    Googles Cloud verwaltet weltweit IoT-Anlagen

  9. Schweden

    Netzbetreiber bietet 10 GBit/s für 45 Euro

  10. Reverse Engineering

    Das Xiaomi-Ökosystem vom Hersteller befreien



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Dickste Freunde?

    Workoft | 21:39

  2. Geht heulen!

    bplhkp | 21:39

  3. Re: hab meine CD keys nicht mehr *schnüff*

    Paddy11 | 21:37

  4. Re: 7590 > 7583 Wer soll bei den Bezeichnungen...

    drvsouth | 21:36

  5. Re: SMR klackert

    Proctrap | 21:30


  1. 17:17

  2. 16:50

  3. 16:05

  4. 15:45

  5. 15:24

  6. 14:47

  7. 14:10

  8. 13:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel