Linux-Paketmanager: RPM-Entwicklung verläuft chaotisch

Unser Autor hat versucht, potenzielle Sicherheitslücken im Paketmanager RPM zu melden, der von Red Hat, Suse und weiteren Linux-Distributionen genutzt wird. Doch das war gar nicht so einfach. Für einen Stack-Buffer-Overflow steht nach wie vor kein Fix bereit.

Artikel von Hanno Böck veröffentlicht am
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt.
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt. (Bild: rpm.org)

Im November 2015 hat der Autor dieses Artikels versucht, Bugs und mögliche Sicherheitslücken in den Paketmanagern populärer Linux-Distributionen zu finden. Während Debian und Ubuntu auf die Fehlerberichte im Paketmanager DPKG innerhalb von wenigen Tagen reagierten und Sicherheitswarnungen herausgaben, gestaltete sich der Prozess bei RPM (RPM Package Manager) schwieriger.

Unabhängiges Projekt seit 2007

Stellenmarkt
  1. IT-Anwendungsbetreuer (m/w/d), Schwerpunkt ERP-System
    Polymer-Technik Elbe, Wittenberg
  2. Statistiker / Mathematiker / Biometriker (m/w/d)
    MDK Baden-Württemberg Medizinischer Dienst der Krankenversicherung, Stuttgart
Detailsuche

RPM wurde ursprünglich von Red Hat entwickelt, der Name stand für Red Hat Package Manager. Seit 2007 ist RPM jedoch ein unabhängiges Projekt, das von mehreren Linux-Distributionen genutzt wird. Nach wie vor wird es aber federführend von Red-Hat-Angestellten betreut.

Die Webseite von RPM - unter rpm.org - ist eine Installation des Tools Trac. Dieses besitzt automatisch auch einen integrierten Bugtracker. Versucht man, sich für diesen zu registrieren, wird man auf eine HTTPS-Webseite weitergeleitet, deren Zertifikat 2012 abgelaufen ist und nicht zur Domain passt. Doch selbst wenn man dies ignoriert und sich registriert, kann man keine Bugs anlegen - laut der Seite soll man erst im IRC-Channel oder auf der Mailingliste nach einer Berechtigung zum Anlegen von Bugs fragen.

Da es sich bei den gefundenen Bugs um potenzielle Sicherheitslücken handelt, bot sich jedoch als naheliegende Kontaktmöglichkeit das Sicherheitsteam von Red Hat an. In einer Mail sendete der Autor dieses Artikels mehrere Beispieldateien, die verschiedene Bugs in RPM auslösten, darunter invalide Lesespeicherzugriffe und ein Stack-Buffer-Overflow. Gefunden wurden diese mittels des Tools American Fuzzy Lop, ein Fuzzing-Tool, das mittels fehlerhafter Eingaben die Robustheit von Programmen testet.

Mehrere Fehlerberichte mittels Fuzzing

Golem Akademie
  1. OpenShift Installation & Administration
    9.-11. August 2021, online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Offenbar war dies nicht der erste Bericht dieser Art. Das Sicherheitsteam von Red Hat teilte mit, dass kurz zuvor ein Bericht mit 30 verschiedenen Beispieldateien, die RPM zum Absturz brächten, eingegangen sei, und dass es einige Zeit dauern werde, bis diese abgearbeitet würden.

Im März erfolgte eine Nachfrage. Daraufhin gab es einen Verweis auf ein Github-Repository, in dem offenbar die aktuelle Entwicklung von RPM stattfindet. Dort waren einige - aber nicht alle - der berichteten Bugs bereits behoben. Auf der Webseite von RPM gibt es keinerlei Hinweise auf dieses Github-Repository.

Gehört rpm.org Red Hat oder nicht?

Auf den Hinweis, dass der Bug-Reporting-Prozess nicht optimal sei, kam die Aussage, dass es sich bei RPM um ein Upstream-Projekt handle und Red Hat nichts daran ändern könne. Allerdings: Betrieben wird die rpm.org-Webseite offenbar trotzdem von Red Hat. Zumindest laut Whois-Informationen ist die Domain von Red Hat selbst registriert.

Schwierig ist es auch, herauszufinden, was die aktuelle Version von RPM ist. Laut rpm.org-Webseite die Version 4.12.0.1, von einer Version 4.13.0 gibt es lediglich einen Release Candidate. Fedora nutzt offenbar schon Version 4.13.0 mit einer ganzen Reihe von zusätzlichen Patches. Laut dem Github-Repository, auf dem die aktuelle Entwicklung stattfindet, ist die derzeitige Version jedoch 4.12.0.

Die berichteten Bugs sind möglicherweise nicht schwerwiegend. Zumindest die Testdateien, die der Autor dieses Artikels mit dem Tool American Fuzzy Lop erzeugt hat, scheitern bereits an der Signaturprüfung von RPM, bevor sie fehlerhafte Speicherzugriffe auslösen. Ausnutzbar sind sie demnach vermutlich nur, wenn ein Angreifer sein Opfer dazu bringt, auf der Kommandozeile eine bösartige RPM-Datei zu analysieren. Doch auch unkritische Sicherheitslücken sollten gefixt werden. Außerdem zeigt der Vorfall deutlich, dass der Entwicklungsprozess von RPM nicht rundläuft.

Eine kurze Beschreibung der einzelnen Bugs (samt Links auf die Beispieldateien) und einen englischsprachigen Blogpost gibt es hier.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Batteriezellfabrik: Porsche will Hochleistungsakkus mit Silizium-Anoden bauen
    Batteriezellfabrik
    Porsche will Hochleistungsakkus mit Silizium-Anoden bauen

    Akkus für nur 1.000 Elektroautos im Jahr will Porsche mit der neuen Tochterfirma Cellforce bauen. Vor allem für den Motorsport.

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

Proctrap 31. Aug 2016

+1, leider.. (Doch, findet sich ab jetzt im Thread, zwei Posts über diesem..)

wikwam 31. Aug 2016

klick auf Leseansicht im FF und der Typ is wech....

xmaniac 31. Aug 2016

...das ist doch der Vorteil an Open-Source!

hab (Golem.de) 30. Aug 2016

Hallo, um die Frage zu beantworten, die Seite hatte ich erst während eines...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /