Abo
  • Services:

Apt: Bug in Debian-Paketmanager feuert Debatte über HTTPS an

Ein Fehler im Debian-Paketmanager Apt erlaubt es einem Netzwerkangreifer, dem System bösartigen Code unterzuschieben. Debian nutzt für seine Pakete kein HTTPS, was den Bug zumindest schwerer ausnutzbar machen würde.

Artikel veröffentlicht am , Hanno Böck
Debians Apt nutzt kein HTTPS - es könnte einen zusätzlichen Schutz bei Sicherheitslücken bieten.
Debians Apt nutzt kein HTTPS - es könnte einen zusätzlichen Schutz bei Sicherheitslücken bieten. (Bild: whydoesaptnotusehttps.com/Screenshot: Golem.de)

Der Debian-Paketmanager Apt hatte eine kritische Sicherheitslücke. Mittels HTTP-Umleitungen konnte ein Angreifer das System so austricksen, dass bösartiger Code ausgeführt wird. Entdeckt hat das Problem der Sicherheitsforscher Max Justicz.

Stellenmarkt
  1. Ruhrverband, Essen
  2. Interhyp Gruppe, München

Die Apt-Software hat ein internes Kommunikationsprotokoll, mit dem die Apt-Software mit verschiedenen Transport-Backends kommuniziert. Üblicherweise wird als Transportbackend HTTP verwendet. Wenn ein Server einen HTTP-Redirect schickt, signalisiert das HTTP-Backend dies der Apt-Software. Hierbei wird die URL, auf die umgeleitet wird, decodiert.

Decodierte URL erlaubt Einschleusen von Befehlen

Hier entsteht das Problem: In der decodierten URL können auch Zeilenumbrüche enthalten sein. Somit kann der Angreifer in das Apt-interne Kommunikationsprotokoll beliebige zusätzliche Daten einschleusen. Es handelt sich also um einen klassischen In-Band-Signalling-Angriff.

Damit kann ein Angreifer auf eine Datei auf dem System verweisen und einen passenden Hash mitschicken. Die Apt-Software geht davon aus, dass der Hash zu diesem Zeitpunkt schon geprüft ist und vertraut auf dessen Korrektheit. Der vom Angreifer untergeschobene Hash wird dann mit der signierten Paketliste verglichen.

Um den Angriff praktikabel zu machen, muss der Angreifer nun noch eine Datei auf dem System unterbringen. Dafür kann man die Debian-Paketliste (Release.gpg) nutzen. Die ist zwar signiert, doch es handelt sich um eine Textsignatur. Vor und nach der Signatur können beliebige Daten eingefügt werden. Somit kann der Angreifer dort ein bösartiges Debian-Paket unterbringen und die korrekt signierten Daten darunter anfügen.

Damit ist der Angriff vollständig: Zunächst schiebt der Angreifer dem Opfer beim Ausführen eines Updates der Paketliste (apt update) ein bösartiges Paket unter. Anschließend wird bei der nächsten Installation oder beim nächsten Update eines Pakets mittels des HTTP-Redirects dem System vorgespielt, dass sich dort ein legitimes Debian-Paket befindet, das installiert werden soll.

Apt nutzt kein HTTPS

Der Angriff dürfte eine Diskussion anfeuern, mit der sich Debian - und in ähnlicher Weise das VLC-Projekt - in den vergangenen Tagen konfrontiert sah. Denn die Daten werden bei Apt standardmäßig mit HTTP übertragen und nicht mit HTTPS. Debian-Entwickler argumentieren, dass ein TLS-Schutz der Datenübertragung nicht nötig ist, da die Pakete signiert sind.

Das ist allerdings nur richtig, solange es vor der Signaturprüfung keine Sicherheitslücken gibt. Angriffe wie der oben beschriebene werden durch die HTTP-Datenübertragung deutlich erleichtert. Würde Apt HTTPS einsetzen, müsste ein Angreifer einen Debian-Mirror kompromittieren, um einen solchen Angriff durchzuführen, da die übertragenen Daten gegen Manipulation geschützt wären. HTTP schützt aber nicht vor Manipulation, insofern kann man die Schwachstelle als Man-in-the-Middle-Angriff ausnutzen.

Es ist auch nicht der erste Angriff dieser Form. Max Justicz verweist darauf, dass Jann Horn 2016 einen ähnlich gelagerten Angriff gegen den Apt-Paketmanager gefunden hatte.

Nutzer von Debian und dessen Derivaten sollten schnellstmöglich das bereitgestellte Update für Apt installieren. Allerdings gibt es hier ein naheliegendes Problem: Der Updateprozess selbst könnte angegriffen werden. Im Debian-Advisory gibt es hierzu einen Tipp: Wer Apt mit dem Parameter -o Acquire::http::AllowRedirect=false aufruft, schaltet HTTP-Umleitungen ab. Damit ist der Angriff nicht möglich. Dieser Parameter sollte sowohl beim Updaten der Paketquellen (apt update) als auch beim eigentlichen Update (apt upgrade) genutzt werden. Ubuntu hat in seinem Advisory diesen Hinweis nicht, allerdings funktioniert dieser Schutz dort ebenfalls.



Anzeige
Hardware-Angebote
  1. 18,99€
  2. täglich neue Deals bei Alternate.de
  3. 199€ + Versand

Iruwen 24. Jan 2019

Was auch jedes RZ anbieten sollte, die gesamte Infrastruktur am besten, also auch NTP...

Iruwen 24. Jan 2019

Ich verwende grundsätzlich nur die internen Mirror unserer Rechenzentren und für...

Deff-Zero 24. Jan 2019

http kann man cachen. Und der Bug hätte auch gefixt werden müssen, wenn man schon immer...

oldmcdonald 23. Jan 2019

Genau! Ich auch. Also nix 5 Tage warten Puh! :)

otto06217 23. Jan 2019

https://launchpadlibrarian.net/406704000/0001-SECURITY-UPDATE-content-injection-in-http...


Folgen Sie uns
       


Sony Xperia L3 - Hands on (MWC 2019)

Sony hat das Xperia L3 auf dem MWC 2019 in Barcelona vorgestellt. Das Einsteiger-Smartphone mit Dual-Kamera steckt in einem schmalen 2:1-Gehäuse. Es hat den Fingerabdrucksensor wieder auf der rechten Seite. Das Smartphone erscheint Anfang März 2019 zum Preis von 200 Euro.

Sony Xperia L3 - Hands on (MWC 2019) Video aufrufen
Programmierer: Wenn der Urheber gegen das Urheberrecht verliert
Programmierer
Wenn der Urheber gegen das Urheberrecht verliert

Der nun offiziell beendete GPL-Streit zwischen Linux-Entwickler Christoph Hellwig und VMware zeigt eklatant, wie schwer sich moderne Software-Entwicklung im aktuellen Urheberrecht abbilden lässt. Immerhin wird klarer, wie derartige Klagen künftig gestaltet werden müssen.
Eine Analyse von Sebastian Grüner

  1. Urheberrecht Frag den Staat darf Glyphosat-Gutachten nicht publizieren
  2. Vor der Abstimmung Mehr als 100.000 Menschen demonstrieren gegen Uploadfilter
  3. Uploadfilter SPD setzt auf Streichung von Artikel 13

ANC-Kopfhörer im Test: Mit Ach und Krach
ANC-Kopfhörer im Test
Mit Ach und Krach

Der neue ANC-Kopfhörer von Audio Technica ist in einem Bereich sogar besser als unsere derzeitigen Favoriten von Sony und Bose - ausgerechnet in der entscheidenden Disziplin schwächelt er aber.
Ein Test von Ingo Pakalski

  1. Surface Headphones Microsofts erster ANC-Bluetooth-Kopfhörer kostet 380 Euro
  2. Sonys WH-1000XM3 Oberklasse-ANC-Kopfhörer hat Kälteprobleme
  3. Sony-Kopfhörer WH-1000XM3 im Test Eine Oase der Stille oder des puren Musikgenusses

Linux: Wer sind die Debian-Bewerber?
Linux
Wer sind die Debian-Bewerber?

Nach schleppendem Beginn stellen sich vier Kandidaten als Debian Project Leader zur Wahl. Zwei von ihnen kommen aus dem deutschsprachigen Raum und stellen Golem.de ihre Ziele vor.
Von Fabian A. Scherschel

  1. Betriebssystem Debian-Entwickler tritt wegen veralteter Werkzeuge zurück
  2. Linux Debian-Update verhindert Start auf ARM-Geräten
  3. Apt Bug in Debian-Paketmanager feuert Debatte über HTTPS an

    •  /