• IT-Karriere:
  • Services:

Apt: Bug in Debian-Paketmanager feuert Debatte über HTTPS an

Ein Fehler im Debian-Paketmanager Apt erlaubt es einem Netzwerkangreifer, dem System bösartigen Code unterzuschieben. Debian nutzt für seine Pakete kein HTTPS, was den Bug zumindest schwerer ausnutzbar machen würde.

Artikel veröffentlicht am , Hanno Böck
Debians Apt nutzt kein HTTPS - es könnte einen zusätzlichen Schutz bei Sicherheitslücken bieten.
Debians Apt nutzt kein HTTPS - es könnte einen zusätzlichen Schutz bei Sicherheitslücken bieten. (Bild: whydoesaptnotusehttps.com/Screenshot: Golem.de)

Der Debian-Paketmanager Apt hatte eine kritische Sicherheitslücke. Mittels HTTP-Umleitungen konnte ein Angreifer das System so austricksen, dass bösartiger Code ausgeführt wird. Entdeckt hat das Problem der Sicherheitsforscher Max Justicz.

Stellenmarkt
  1. Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. R2 Consulting GmbH, Bayern

Die Apt-Software hat ein internes Kommunikationsprotokoll, mit dem die Apt-Software mit verschiedenen Transport-Backends kommuniziert. Üblicherweise wird als Transportbackend HTTP verwendet. Wenn ein Server einen HTTP-Redirect schickt, signalisiert das HTTP-Backend dies der Apt-Software. Hierbei wird die URL, auf die umgeleitet wird, decodiert.

Decodierte URL erlaubt Einschleusen von Befehlen

Hier entsteht das Problem: In der decodierten URL können auch Zeilenumbrüche enthalten sein. Somit kann der Angreifer in das Apt-interne Kommunikationsprotokoll beliebige zusätzliche Daten einschleusen. Es handelt sich also um einen klassischen In-Band-Signalling-Angriff.

Damit kann ein Angreifer auf eine Datei auf dem System verweisen und einen passenden Hash mitschicken. Die Apt-Software geht davon aus, dass der Hash zu diesem Zeitpunkt schon geprüft ist und vertraut auf dessen Korrektheit. Der vom Angreifer untergeschobene Hash wird dann mit der signierten Paketliste verglichen.

Um den Angriff praktikabel zu machen, muss der Angreifer nun noch eine Datei auf dem System unterbringen. Dafür kann man die Debian-Paketliste (Release.gpg) nutzen. Die ist zwar signiert, doch es handelt sich um eine Textsignatur. Vor und nach der Signatur können beliebige Daten eingefügt werden. Somit kann der Angreifer dort ein bösartiges Debian-Paket unterbringen und die korrekt signierten Daten darunter anfügen.

Damit ist der Angriff vollständig: Zunächst schiebt der Angreifer dem Opfer beim Ausführen eines Updates der Paketliste (apt update) ein bösartiges Paket unter. Anschließend wird bei der nächsten Installation oder beim nächsten Update eines Pakets mittels des HTTP-Redirects dem System vorgespielt, dass sich dort ein legitimes Debian-Paket befindet, das installiert werden soll.

Apt nutzt kein HTTPS

Der Angriff dürfte eine Diskussion anfeuern, mit der sich Debian - und in ähnlicher Weise das VLC-Projekt - in den vergangenen Tagen konfrontiert sah. Denn die Daten werden bei Apt standardmäßig mit HTTP übertragen und nicht mit HTTPS. Debian-Entwickler argumentieren, dass ein TLS-Schutz der Datenübertragung nicht nötig ist, da die Pakete signiert sind.

Das ist allerdings nur richtig, solange es vor der Signaturprüfung keine Sicherheitslücken gibt. Angriffe wie der oben beschriebene werden durch die HTTP-Datenübertragung deutlich erleichtert. Würde Apt HTTPS einsetzen, müsste ein Angreifer einen Debian-Mirror kompromittieren, um einen solchen Angriff durchzuführen, da die übertragenen Daten gegen Manipulation geschützt wären. HTTP schützt aber nicht vor Manipulation, insofern kann man die Schwachstelle als Man-in-the-Middle-Angriff ausnutzen.

Es ist auch nicht der erste Angriff dieser Form. Max Justicz verweist darauf, dass Jann Horn 2016 einen ähnlich gelagerten Angriff gegen den Apt-Paketmanager gefunden hatte.

Nutzer von Debian und dessen Derivaten sollten schnellstmöglich das bereitgestellte Update für Apt installieren. Allerdings gibt es hier ein naheliegendes Problem: Der Updateprozess selbst könnte angegriffen werden. Im Debian-Advisory gibt es hierzu einen Tipp: Wer Apt mit dem Parameter -o Acquire::http::AllowRedirect=false aufruft, schaltet HTTP-Umleitungen ab. Damit ist der Angriff nicht möglich. Dieser Parameter sollte sowohl beim Updaten der Paketquellen (apt update) als auch beim eigentlichen Update (apt upgrade) genutzt werden. Ubuntu hat in seinem Advisory diesen Hinweis nicht, allerdings funktioniert dieser Schutz dort ebenfalls.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 326,74€
  2. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  3. 499,90€

Iruwen 24. Jan 2019

Was auch jedes RZ anbieten sollte, die gesamte Infrastruktur am besten, also auch NTP...

Iruwen 24. Jan 2019

Ich verwende grundsätzlich nur die internen Mirror unserer Rechenzentren und für...

Deff-Zero 24. Jan 2019

http kann man cachen. Und der Bug hätte auch gefixt werden müssen, wenn man schon immer...

oldmcdonald 23. Jan 2019

Genau! Ich auch. Also nix 5 Tage warten Puh! :)

otto06217 23. Jan 2019

https://launchpadlibrarian.net/406704000/0001-SECURITY-UPDATE-content-injection-in-http...


Folgen Sie uns
       


Besuch beim Cyberbunker

Wir haben uns den ominösen Cyberbunker an der Mosel oberhalb von Traben-Trarbach von außen angeschaut.

Besuch beim Cyberbunker Video aufrufen
Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera

Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Next-Gen: Tolle Indiegames für PS5 und Xbox Series X/S
Next-Gen
Tolle Indiegames für PS5 und Xbox Series X/S

Kaum ein unabhängiger Entwickler hat Dev-Kits für PS5 und Xbox Series X/S - aber The Pathinder und Falconeer sind tolle Next-Gen-Indiegames!
Von Rainer Sigl

  1. Indiegames-Rundschau Raumschiffknacker im Orbit
  2. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
  3. Indiegames-Rundschau Einmal durchspielen in 400 Tagen

    •  /