Linux-Paketmanager: RPM-Entwicklung verläuft chaotisch

Unser Autor hat versucht, potenzielle Sicherheitslücken im Paketmanager RPM zu melden, der von Red Hat, Suse und weiteren Linux-Distributionen genutzt wird. Doch das war gar nicht so einfach. Für einen Stack-Buffer-Overflow steht nach wie vor kein Fix bereit.

Artikel von Hanno Böck veröffentlicht am
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt.
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt. (Bild: rpm.org)

Im November 2015 hat der Autor dieses Artikels versucht, Bugs und mögliche Sicherheitslücken in den Paketmanagern populärer Linux-Distributionen zu finden. Während Debian und Ubuntu auf die Fehlerberichte im Paketmanager DPKG innerhalb von wenigen Tagen reagierten und Sicherheitswarnungen herausgaben, gestaltete sich der Prozess bei RPM (RPM Package Manager) schwieriger.

Unabhängiges Projekt seit 2007

Stellenmarkt
  1. Business Process Engineer (w/m/d)
    ZDF Studios GmbH, Mainz
  2. Lead IT Expert Intranet & Web Applications (m/w/d)
    BWI GmbH, deutschlandweit
Detailsuche

RPM wurde ursprünglich von Red Hat entwickelt, der Name stand für Red Hat Package Manager. Seit 2007 ist RPM jedoch ein unabhängiges Projekt, das von mehreren Linux-Distributionen genutzt wird. Nach wie vor wird es aber federführend von Red-Hat-Angestellten betreut.

Die Webseite von RPM - unter rpm.org - ist eine Installation des Tools Trac. Dieses besitzt automatisch auch einen integrierten Bugtracker. Versucht man, sich für diesen zu registrieren, wird man auf eine HTTPS-Webseite weitergeleitet, deren Zertifikat 2012 abgelaufen ist und nicht zur Domain passt. Doch selbst wenn man dies ignoriert und sich registriert, kann man keine Bugs anlegen - laut der Seite soll man erst im IRC-Channel oder auf der Mailingliste nach einer Berechtigung zum Anlegen von Bugs fragen.

Da es sich bei den gefundenen Bugs um potenzielle Sicherheitslücken handelt, bot sich jedoch als naheliegende Kontaktmöglichkeit das Sicherheitsteam von Red Hat an. In einer Mail sendete der Autor dieses Artikels mehrere Beispieldateien, die verschiedene Bugs in RPM auslösten, darunter invalide Lesespeicherzugriffe und ein Stack-Buffer-Overflow. Gefunden wurden diese mittels des Tools American Fuzzy Lop, ein Fuzzing-Tool, das mittels fehlerhafter Eingaben die Robustheit von Programmen testet.

Mehrere Fehlerberichte mittels Fuzzing

Golem Akademie
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    11./12.07.2022, Virtuell
Weitere IT-Trainings

Offenbar war dies nicht der erste Bericht dieser Art. Das Sicherheitsteam von Red Hat teilte mit, dass kurz zuvor ein Bericht mit 30 verschiedenen Beispieldateien, die RPM zum Absturz brächten, eingegangen sei, und dass es einige Zeit dauern werde, bis diese abgearbeitet würden.

Im März erfolgte eine Nachfrage. Daraufhin gab es einen Verweis auf ein Github-Repository, in dem offenbar die aktuelle Entwicklung von RPM stattfindet. Dort waren einige - aber nicht alle - der berichteten Bugs bereits behoben. Auf der Webseite von RPM gibt es keinerlei Hinweise auf dieses Github-Repository.

Gehört rpm.org Red Hat oder nicht?

Auf den Hinweis, dass der Bug-Reporting-Prozess nicht optimal sei, kam die Aussage, dass es sich bei RPM um ein Upstream-Projekt handle und Red Hat nichts daran ändern könne. Allerdings: Betrieben wird die rpm.org-Webseite offenbar trotzdem von Red Hat. Zumindest laut Whois-Informationen ist die Domain von Red Hat selbst registriert.

Schwierig ist es auch, herauszufinden, was die aktuelle Version von RPM ist. Laut rpm.org-Webseite die Version 4.12.0.1, von einer Version 4.13.0 gibt es lediglich einen Release Candidate. Fedora nutzt offenbar schon Version 4.13.0 mit einer ganzen Reihe von zusätzlichen Patches. Laut dem Github-Repository, auf dem die aktuelle Entwicklung stattfindet, ist die derzeitige Version jedoch 4.12.0.

Die berichteten Bugs sind möglicherweise nicht schwerwiegend. Zumindest die Testdateien, die der Autor dieses Artikels mit dem Tool American Fuzzy Lop erzeugt hat, scheitern bereits an der Signaturprüfung von RPM, bevor sie fehlerhafte Speicherzugriffe auslösen. Ausnutzbar sind sie demnach vermutlich nur, wenn ein Angreifer sein Opfer dazu bringt, auf der Kommandozeile eine bösartige RPM-Datei zu analysieren. Doch auch unkritische Sicherheitslücken sollten gefixt werden. Außerdem zeigt der Vorfall deutlich, dass der Entwicklungsprozess von RPM nicht rundläuft.

Eine kurze Beschreibung der einzelnen Bugs (samt Links auf die Beispieldateien) und einen englischsprachigen Blogpost gibt es hier.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Proctrap 31. Aug 2016

+1, leider.. (Doch, findet sich ab jetzt im Thread, zwei Posts über diesem..)

wikwam 31. Aug 2016

klick auf Leseansicht im FF und der Typ is wech....

xmaniac 31. Aug 2016

...das ist doch der Vorteil an Open-Source!

hab (Golem.de) 30. Aug 2016

Hallo, um die Frage zu beantworten, die Seite hatte ich erst während eines...



Aktuell auf der Startseite von Golem.de
Forschung
Blaualge versorgt Computer sechs Monate mit Strom

Ein Forschungsteam hat einen Mikroprozessor sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit.

Forschung: Blaualge versorgt Computer sechs Monate mit Strom
Artikel
  1. EC-Karte: Trotz Kartensperre können Diebe stundenlang Geld abheben
    EC-Karte
    Trotz Kartensperre können Diebe stundenlang Geld abheben

    Eine Sperre der Girocard wird nicht immer sofort aktiv. Verbraucher können sich bereits im Vorfeld schützen.

  2. Swisscom-Chef: Vermasselt habe ich nichts
    Swisscom-Chef
    "Vermasselt habe ich nichts"

    Urs Schaeppi gibt den Chefposten bei Swisscom auf. Sein Rückblick auf neun Jahre Konzernführung fällt ungewöhnlich offen aus.

  3. EV Driver Survey: Elektroautos bei IT-Experten besonders beliebt
    EV Driver Survey
    Elektroautos bei IT-Experten besonders beliebt

    Fahrerlebnis und Technik sind für Fahrer von Elektroautos der größte Zusatznutzen dieser Mobilitätsform. Fast alle würden wieder ein E-Auto kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV (2021) 77" günstig wie nie: 1.771,60€ statt 4.699€ • Grakas günstig wie nie (u. a. RTX 3080Ti 1.285€) • Samsung SSD 1TB (PS5-komp.) + Heatsink günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsdeals MediaMarkt • Bosch Prof. bis 53% günstiger[Werbung]
    •  /