Apt: Bug in Debian-Paketmanager feuert Debatte über HTTPS an

Der Debian-Paketmanager Apt hatte eine kritische Sicherheitslücke. Mittels HTTP-Umleitungen konnte ein Angreifer das System so austricksen, dass bösartiger Code ausgeführt wird. Entdeckt hat das Problem der Sicherheitsforscher Max Justicz.

Die Apt-Software hat ein internes Kommunikationsprotokoll, mit dem die Apt-Software mit verschiedenen Transport-Backends kommuniziert. Üblicherweise wird als Transportbackend HTTP verwendet. Wenn ein Server einen HTTP-Redirect schickt, signalisiert das HTTP-Backend dies der Apt-Software. Hierbei wird die URL, auf die umgeleitet wird, decodiert.

Decodierte URL erlaubt Einschleusen von Befehlen

Hier entsteht das Problem: In der decodierten URL können auch Zeilenumbrüche enthalten sein. Somit kann der Angreifer in das Apt-interne Kommunikationsprotokoll beliebige zusätzliche Daten einschleusen. Es handelt sich also um einen klassischen In-Band-Signalling-Angriff.

Damit kann ein Angreifer auf eine Datei auf dem System verweisen und einen passenden Hash mitschicken. Die Apt-Software geht davon aus, dass der Hash zu diesem Zeitpunkt schon geprüft ist und vertraut auf dessen Korrektheit. Der vom Angreifer untergeschobene Hash wird dann mit der signierten Paketliste verglichen.

Um den Angriff praktikabel zu machen, muss der Angreifer nun noch eine Datei auf dem System unterbringen. Dafür kann man die Debian-Paketliste (Release.gpg) nutzen. Die ist zwar signiert, doch es handelt sich um eine Textsignatur. Vor und nach der Signatur können beliebige Daten eingefügt werden. Somit kann der Angreifer dort ein bösartiges Debian-Paket unterbringen und die korrekt signierten Daten darunter anfügen.

Damit ist der Angriff vollständig: Zunächst schiebt der Angreifer dem Opfer beim Ausführen eines Updates der Paketliste (apt update) ein bösartiges Paket unter. Anschließend wird bei der nächsten Installation oder beim nächsten Update eines Pakets mittels des HTTP-Redirects dem System vorgespielt, dass sich dort ein legitimes Debian-Paket befindet, das installiert werden soll.

Apt nutzt kein HTTPS

Der Angriff dürfte eine Diskussion anfeuern, mit der sich Debian - und in ähnlicher Weise das VLC-Projekt - in den vergangenen Tagen konfrontiert sah. Denn die Daten werden bei Apt standardmäßig mit HTTP übertragen und nicht mit HTTPS. Debian-Entwickler argumentieren, dass ein TLS-Schutz der Datenübertragung nicht nötig ist, da die Pakete signiert sind.

Das ist allerdings nur richtig, solange es vor der Signaturprüfung keine Sicherheitslücken gibt. Angriffe wie der oben beschriebene werden durch die HTTP-Datenübertragung deutlich erleichtert. Würde Apt HTTPS einsetzen, müsste ein Angreifer einen Debian-Mirror kompromittieren, um einen solchen Angriff durchzuführen, da die übertragenen Daten gegen Manipulation geschützt wären. HTTP schützt aber nicht vor Manipulation, insofern kann man die Schwachstelle als Man-in-the-Middle-Angriff ausnutzen.

Es ist auch nicht der erste Angriff dieser Form. Max Justicz verweist darauf, dass Jann Horn 2016 einen ähnlich gelagerten Angriff gegen den Apt-Paketmanager gefunden hatte.

Nutzer von Debian und dessen Derivaten sollten schnellstmöglich das bereitgestellte Update für Apt installieren. Allerdings gibt es hier ein naheliegendes Problem: Der Updateprozess selbst könnte angegriffen werden. Im Debian-Advisory gibt es hierzu einen Tipp: Wer Apt mit dem Parameter -o Acquire::http::AllowRedirect=false aufruft, schaltet HTTP-Umleitungen ab. Damit ist der Angriff nicht möglich. Dieser Parameter sollte sowohl beim Updaten der Paketquellen (apt update) als auch beim eigentlichen Update (apt upgrade) genutzt werden. Ubuntu hat in seinem Advisory diesen Hinweis nicht, allerdings funktioniert dieser Schutz dort ebenfalls.