Apt: Bug in Debian-Paketmanager feuert Debatte über HTTPS an

Ein Fehler im Debian-Paketmanager Apt erlaubt es einem Netzwerkangreifer, dem System bösartigen Code unterzuschieben. Debian nutzt für seine Pakete kein HTTPS, was den Bug zumindest schwerer ausnutzbar machen würde.

Artikel veröffentlicht am , Hanno Böck
Debians Apt nutzt kein HTTPS - es könnte einen zusätzlichen Schutz bei Sicherheitslücken bieten.
Debians Apt nutzt kein HTTPS - es könnte einen zusätzlichen Schutz bei Sicherheitslücken bieten. (Bild: whydoesaptnotusehttps.com/Screenshot: Golem.de)

Der Debian-Paketmanager Apt hatte eine kritische Sicherheitslücke. Mittels HTTP-Umleitungen konnte ein Angreifer das System so austricksen, dass bösartiger Code ausgeführt wird. Entdeckt hat das Problem der Sicherheitsforscher Max Justicz.

Stellenmarkt
  1. Systemadministrator*in Desktopmanagement Produktions-IT
    SCHOTT AG, Mitterteich
  2. IT-Systemadministrator*in (m/w/d)
    Universität Osnabrück, Osnabrück
Detailsuche

Die Apt-Software hat ein internes Kommunikationsprotokoll, mit dem die Apt-Software mit verschiedenen Transport-Backends kommuniziert. Üblicherweise wird als Transportbackend HTTP verwendet. Wenn ein Server einen HTTP-Redirect schickt, signalisiert das HTTP-Backend dies der Apt-Software. Hierbei wird die URL, auf die umgeleitet wird, decodiert.

Decodierte URL erlaubt Einschleusen von Befehlen

Hier entsteht das Problem: In der decodierten URL können auch Zeilenumbrüche enthalten sein. Somit kann der Angreifer in das Apt-interne Kommunikationsprotokoll beliebige zusätzliche Daten einschleusen. Es handelt sich also um einen klassischen In-Band-Signalling-Angriff.

Damit kann ein Angreifer auf eine Datei auf dem System verweisen und einen passenden Hash mitschicken. Die Apt-Software geht davon aus, dass der Hash zu diesem Zeitpunkt schon geprüft ist und vertraut auf dessen Korrektheit. Der vom Angreifer untergeschobene Hash wird dann mit der signierten Paketliste verglichen.

Golem Akademie
  1. PostgreSQL Fundamentals
    14.-17. September 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Um den Angriff praktikabel zu machen, muss der Angreifer nun noch eine Datei auf dem System unterbringen. Dafür kann man die Debian-Paketliste (Release.gpg) nutzen. Die ist zwar signiert, doch es handelt sich um eine Textsignatur. Vor und nach der Signatur können beliebige Daten eingefügt werden. Somit kann der Angreifer dort ein bösartiges Debian-Paket unterbringen und die korrekt signierten Daten darunter anfügen.

Damit ist der Angriff vollständig: Zunächst schiebt der Angreifer dem Opfer beim Ausführen eines Updates der Paketliste (apt update) ein bösartiges Paket unter. Anschließend wird bei der nächsten Installation oder beim nächsten Update eines Pakets mittels des HTTP-Redirects dem System vorgespielt, dass sich dort ein legitimes Debian-Paket befindet, das installiert werden soll.

Apt nutzt kein HTTPS

Der Angriff dürfte eine Diskussion anfeuern, mit der sich Debian - und in ähnlicher Weise das VLC-Projekt - in den vergangenen Tagen konfrontiert sah. Denn die Daten werden bei Apt standardmäßig mit HTTP übertragen und nicht mit HTTPS. Debian-Entwickler argumentieren, dass ein TLS-Schutz der Datenübertragung nicht nötig ist, da die Pakete signiert sind.

Das ist allerdings nur richtig, solange es vor der Signaturprüfung keine Sicherheitslücken gibt. Angriffe wie der oben beschriebene werden durch die HTTP-Datenübertragung deutlich erleichtert. Würde Apt HTTPS einsetzen, müsste ein Angreifer einen Debian-Mirror kompromittieren, um einen solchen Angriff durchzuführen, da die übertragenen Daten gegen Manipulation geschützt wären. HTTP schützt aber nicht vor Manipulation, insofern kann man die Schwachstelle als Man-in-the-Middle-Angriff ausnutzen.

Es ist auch nicht der erste Angriff dieser Form. Max Justicz verweist darauf, dass Jann Horn 2016 einen ähnlich gelagerten Angriff gegen den Apt-Paketmanager gefunden hatte.

Nutzer von Debian und dessen Derivaten sollten schnellstmöglich das bereitgestellte Update für Apt installieren. Allerdings gibt es hier ein naheliegendes Problem: Der Updateprozess selbst könnte angegriffen werden. Im Debian-Advisory gibt es hierzu einen Tipp: Wer Apt mit dem Parameter -o Acquire::http::AllowRedirect=false aufruft, schaltet HTTP-Umleitungen ab. Damit ist der Angriff nicht möglich. Dieser Parameter sollte sowohl beim Updaten der Paketquellen (apt update) als auch beim eigentlichen Update (apt upgrade) genutzt werden. Ubuntu hat in seinem Advisory diesen Hinweis nicht, allerdings funktioniert dieser Schutz dort ebenfalls.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Fifa, Battlefield und Co.
Der EA-Hack startete mit Cookies für 10 US-Dollar

Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
Artikel
  1. Bitkom: Entscheidungsfreudiges Digitalministerium im Bund nötig
    Bitkom
    "Entscheidungsfreudiges" Digitalministerium im Bund nötig

    Die Verbände Bitkom und Eco sind sich beim Digitalministerium einig. Eine kompetente Führung sei gefragt.

  2. Streit mit den USA: EU stellt geplante Digitalsteuer zurück
    Streit mit den USA
    EU stellt geplante Digitalsteuer zurück

    Der Kampf um die internationale Mindeststeuer für IT-Konzerne geht in die nächste Runde.

  3. Ubisoft: Avatar statt Assassin's Creed
    Ubisoft
    Avatar statt Assassin's Creed

    E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Kommentarübersicht
Re: https
Iruwen 24. Jan 2019

Was auch jedes RZ anbieten sollte, die gesamte Infrastruktur am besten, also auch NTP...

Re: Es geht auch bequemer
Iruwen 24. Jan 2019

Ich verwende grundsätzlich nur die internen Mirror unserer Rechenzentren und für...

Re: Die Frage wäre...
Deff-Zero 24. Jan 2019

http kann man cachen. Und der Bug hätte auch gefixt werden müssen, wenn man schon immer...

Re: Kein Update verfügbar
oldmcdonald 23. Jan 2019

Genau! Ich auch. Also nix 5 Tage warten Puh! :)

Jetzt wird es interessant
otto06217 23. Jan 2019

https://launchpadlibrarian.net/406704000/0001-SECURITY-UPDATE-content-injection-in-http...

Folgen Sie uns
       
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /