Abo
  • IT-Karriere:

Apt: Bug in Debian-Paketmanager feuert Debatte über HTTPS an

Ein Fehler im Debian-Paketmanager Apt erlaubt es einem Netzwerkangreifer, dem System bösartigen Code unterzuschieben. Debian nutzt für seine Pakete kein HTTPS, was den Bug zumindest schwerer ausnutzbar machen würde.

Artikel veröffentlicht am , Hanno Böck
Debians Apt nutzt kein HTTPS - es könnte einen zusätzlichen Schutz bei Sicherheitslücken bieten.
Debians Apt nutzt kein HTTPS - es könnte einen zusätzlichen Schutz bei Sicherheitslücken bieten. (Bild: whydoesaptnotusehttps.com/Screenshot: Golem.de)

Der Debian-Paketmanager Apt hatte eine kritische Sicherheitslücke. Mittels HTTP-Umleitungen konnte ein Angreifer das System so austricksen, dass bösartiger Code ausgeführt wird. Entdeckt hat das Problem der Sicherheitsforscher Max Justicz.

Stellenmarkt
  1. ENERCON GmbH, Aurich
  2. Hogrefe-Verlag GmbH & Co. KG, Göttingen

Die Apt-Software hat ein internes Kommunikationsprotokoll, mit dem die Apt-Software mit verschiedenen Transport-Backends kommuniziert. Üblicherweise wird als Transportbackend HTTP verwendet. Wenn ein Server einen HTTP-Redirect schickt, signalisiert das HTTP-Backend dies der Apt-Software. Hierbei wird die URL, auf die umgeleitet wird, decodiert.

Decodierte URL erlaubt Einschleusen von Befehlen

Hier entsteht das Problem: In der decodierten URL können auch Zeilenumbrüche enthalten sein. Somit kann der Angreifer in das Apt-interne Kommunikationsprotokoll beliebige zusätzliche Daten einschleusen. Es handelt sich also um einen klassischen In-Band-Signalling-Angriff.

Damit kann ein Angreifer auf eine Datei auf dem System verweisen und einen passenden Hash mitschicken. Die Apt-Software geht davon aus, dass der Hash zu diesem Zeitpunkt schon geprüft ist und vertraut auf dessen Korrektheit. Der vom Angreifer untergeschobene Hash wird dann mit der signierten Paketliste verglichen.

Um den Angriff praktikabel zu machen, muss der Angreifer nun noch eine Datei auf dem System unterbringen. Dafür kann man die Debian-Paketliste (Release.gpg) nutzen. Die ist zwar signiert, doch es handelt sich um eine Textsignatur. Vor und nach der Signatur können beliebige Daten eingefügt werden. Somit kann der Angreifer dort ein bösartiges Debian-Paket unterbringen und die korrekt signierten Daten darunter anfügen.

Damit ist der Angriff vollständig: Zunächst schiebt der Angreifer dem Opfer beim Ausführen eines Updates der Paketliste (apt update) ein bösartiges Paket unter. Anschließend wird bei der nächsten Installation oder beim nächsten Update eines Pakets mittels des HTTP-Redirects dem System vorgespielt, dass sich dort ein legitimes Debian-Paket befindet, das installiert werden soll.

Apt nutzt kein HTTPS

Der Angriff dürfte eine Diskussion anfeuern, mit der sich Debian - und in ähnlicher Weise das VLC-Projekt - in den vergangenen Tagen konfrontiert sah. Denn die Daten werden bei Apt standardmäßig mit HTTP übertragen und nicht mit HTTPS. Debian-Entwickler argumentieren, dass ein TLS-Schutz der Datenübertragung nicht nötig ist, da die Pakete signiert sind.

Das ist allerdings nur richtig, solange es vor der Signaturprüfung keine Sicherheitslücken gibt. Angriffe wie der oben beschriebene werden durch die HTTP-Datenübertragung deutlich erleichtert. Würde Apt HTTPS einsetzen, müsste ein Angreifer einen Debian-Mirror kompromittieren, um einen solchen Angriff durchzuführen, da die übertragenen Daten gegen Manipulation geschützt wären. HTTP schützt aber nicht vor Manipulation, insofern kann man die Schwachstelle als Man-in-the-Middle-Angriff ausnutzen.

Es ist auch nicht der erste Angriff dieser Form. Max Justicz verweist darauf, dass Jann Horn 2016 einen ähnlich gelagerten Angriff gegen den Apt-Paketmanager gefunden hatte.

Nutzer von Debian und dessen Derivaten sollten schnellstmöglich das bereitgestellte Update für Apt installieren. Allerdings gibt es hier ein naheliegendes Problem: Der Updateprozess selbst könnte angegriffen werden. Im Debian-Advisory gibt es hierzu einen Tipp: Wer Apt mit dem Parameter -o Acquire::http::AllowRedirect=false aufruft, schaltet HTTP-Umleitungen ab. Damit ist der Angriff nicht möglich. Dieser Parameter sollte sowohl beim Updaten der Paketquellen (apt update) als auch beim eigentlichen Update (apt upgrade) genutzt werden. Ubuntu hat in seinem Advisory diesen Hinweis nicht, allerdings funktioniert dieser Schutz dort ebenfalls.

Zu den Kommentaren springen
Meistgelesen
  1. Energiespeicher
    Heiße Steine sind effizienter als Brennstoffzellen
  2. Julia
    Eine Programmiersprache nicht nur für die Wissenschaft
  3. Retro-Optik
    Elektromotorrad Regent No.1 soll 9.500 Euro kosten
  4. Universal Serial Bus
    Erfinder erklärt, warum USB-A nur einseitig einsteckbar ist
  5. Handelskrieg
    Trump will kein 5G von Ericsson und Nokia aus China zulassen
Anzeige
Hardware-Angebote
  1. 239,00€
  2. täglich neue Deals bei Alternate.de
  3. 149,90€ + Versand
Kommentarübersicht
Re: https
Iruwen 24. Jan 2019

Was auch jedes RZ anbieten sollte, die gesamte Infrastruktur am besten, also auch NTP...

Re: Es geht auch bequemer
Iruwen 24. Jan 2019

Ich verwende grundsätzlich nur die internen Mirror unserer Rechenzentren und für...

Re: Die Frage wäre...
Deff-Zero 24. Jan 2019

http kann man cachen. Und der Bug hätte auch gefixt werden müssen, wenn man schon immer...

Re: Kein Update verfügbar
oldmcdonald 23. Jan 2019

Genau! Ich auch. Also nix 5 Tage warten Puh! :)

Jetzt wird es interessant
otto06217 23. Jan 2019

https://launchpadlibrarian.net/406704000/0001-SECURITY-UPDATE-content-injection-in-http...

Folgen Sie uns
       
Corsair One i160 - Fazit

Corsair One i160 - Fazit Video aufrufen
Smartwatch
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor
Autonomes Fahren
Autonomes Fahren: Per Fernsteuerung durch die Baustelle
Autonomes Fahren
Per Fernsteuerung durch die Baustelle

Was passiert, wenn autonome Autos in einer Verkehrssituation nicht mehr weiterwissen? Ein Berliner Fraunhofer-Institut hat dazu eine sehr datensparsame Fernsteuerung entwickelt. Doch es wird auch vor der Technik gewarnt.
Ein Bericht von Friedhelm Greis

  1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
  2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
  3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften
Wolfenstein
Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner

    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /