Abo
  • Services:

Linux-Paketmanager: RPM-Entwicklung verläuft chaotisch

Unser Autor hat versucht, potenzielle Sicherheitslücken im Paketmanager RPM zu melden, der von Red Hat, Suse und weiteren Linux-Distributionen genutzt wird. Doch das war gar nicht so einfach. Für einen Stack-Buffer-Overflow steht nach wie vor kein Fix bereit.

Artikel von Hanno Böck veröffentlicht am
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt.
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt. (Bild: rpm.org)

Im November 2015 hat der Autor dieses Artikels versucht, Bugs und mögliche Sicherheitslücken in den Paketmanagern populärer Linux-Distributionen zu finden. Während Debian und Ubuntu auf die Fehlerberichte im Paketmanager DPKG innerhalb von wenigen Tagen reagierten und Sicherheitswarnungen herausgaben, gestaltete sich der Prozess bei RPM (RPM Package Manager) schwieriger.

Unabhängiges Projekt seit 2007

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

RPM wurde ursprünglich von Red Hat entwickelt, der Name stand für Red Hat Package Manager. Seit 2007 ist RPM jedoch ein unabhängiges Projekt, das von mehreren Linux-Distributionen genutzt wird. Nach wie vor wird es aber federführend von Red-Hat-Angestellten betreut.

Die Webseite von RPM - unter rpm.org - ist eine Installation des Tools Trac. Dieses besitzt automatisch auch einen integrierten Bugtracker. Versucht man, sich für diesen zu registrieren, wird man auf eine HTTPS-Webseite weitergeleitet, deren Zertifikat 2012 abgelaufen ist und nicht zur Domain passt. Doch selbst wenn man dies ignoriert und sich registriert, kann man keine Bugs anlegen - laut der Seite soll man erst im IRC-Channel oder auf der Mailingliste nach einer Berechtigung zum Anlegen von Bugs fragen.

Da es sich bei den gefundenen Bugs um potenzielle Sicherheitslücken handelt, bot sich jedoch als naheliegende Kontaktmöglichkeit das Sicherheitsteam von Red Hat an. In einer Mail sendete der Autor dieses Artikels mehrere Beispieldateien, die verschiedene Bugs in RPM auslösten, darunter invalide Lesespeicherzugriffe und ein Stack-Buffer-Overflow. Gefunden wurden diese mittels des Tools American Fuzzy Lop, ein Fuzzing-Tool, das mittels fehlerhafter Eingaben die Robustheit von Programmen testet.

Mehrere Fehlerberichte mittels Fuzzing

Offenbar war dies nicht der erste Bericht dieser Art. Das Sicherheitsteam von Red Hat teilte mit, dass kurz zuvor ein Bericht mit 30 verschiedenen Beispieldateien, die RPM zum Absturz brächten, eingegangen sei, und dass es einige Zeit dauern werde, bis diese abgearbeitet würden.

Im März erfolgte eine Nachfrage. Daraufhin gab es einen Verweis auf ein Github-Repository, in dem offenbar die aktuelle Entwicklung von RPM stattfindet. Dort waren einige - aber nicht alle - der berichteten Bugs bereits behoben. Auf der Webseite von RPM gibt es keinerlei Hinweise auf dieses Github-Repository.

Gehört rpm.org Red Hat oder nicht?

Auf den Hinweis, dass der Bug-Reporting-Prozess nicht optimal sei, kam die Aussage, dass es sich bei RPM um ein Upstream-Projekt handle und Red Hat nichts daran ändern könne. Allerdings: Betrieben wird die rpm.org-Webseite offenbar trotzdem von Red Hat. Zumindest laut Whois-Informationen ist die Domain von Red Hat selbst registriert.

Schwierig ist es auch, herauszufinden, was die aktuelle Version von RPM ist. Laut rpm.org-Webseite die Version 4.12.0.1, von einer Version 4.13.0 gibt es lediglich einen Release Candidate. Fedora nutzt offenbar schon Version 4.13.0 mit einer ganzen Reihe von zusätzlichen Patches. Laut dem Github-Repository, auf dem die aktuelle Entwicklung stattfindet, ist die derzeitige Version jedoch 4.12.0.

Die berichteten Bugs sind möglicherweise nicht schwerwiegend. Zumindest die Testdateien, die der Autor dieses Artikels mit dem Tool American Fuzzy Lop erzeugt hat, scheitern bereits an der Signaturprüfung von RPM, bevor sie fehlerhafte Speicherzugriffe auslösen. Ausnutzbar sind sie demnach vermutlich nur, wenn ein Angreifer sein Opfer dazu bringt, auf der Kommandozeile eine bösartige RPM-Datei zu analysieren. Doch auch unkritische Sicherheitslücken sollten gefixt werden. Außerdem zeigt der Vorfall deutlich, dass der Entwicklungsprozess von RPM nicht rundläuft.

Eine kurze Beschreibung der einzelnen Bugs (samt Links auf die Beispieldateien) und einen englischsprachigen Blogpost gibt es hier.



Anzeige
Spiele-Angebote
  1. (-78%) 8,99€
  2. 5,99€
  3. 34,99€ (erscheint am 14.02.)
  4. 25,49€

Proctrap 31. Aug 2016

+1, leider.. (Doch, findet sich ab jetzt im Thread, zwei Posts über diesem..)

wikwam 31. Aug 2016

klick auf Leseansicht im FF und der Typ is wech....

xmaniac 31. Aug 2016

...das ist doch der Vorteil an Open-Source!

hannob (golem.de) 30. Aug 2016

Hallo, um die Frage zu beantworten, die Seite hatte ich erst während eines...


Folgen Sie uns
       


Royole Flexpai - Hands on (CES 2019)

Das Flexpai von Royole ist das erste kommerziell erhältliche Smartphone mit faltbarem Display. Ein erster Kurztest des Gerätes zeigt, dass es noch einige Probleme mit der Software hat.

Royole Flexpai - Hands on (CES 2019) Video aufrufen
Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
Vivy & Co.
Gesundheitsapps kranken an der Sicherheit

35C3 Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
Von Moritz Tremmel

  1. Krankenkassen Vivy-App gibt Daten preis
  2. Krankenversicherung Der Papierkrieg geht weiter
  3. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche

Hackerangriff auf Politiker: Youtuber soll hinter Datenleak stecken
Hackerangriff auf Politiker
Youtuber soll hinter Datenleak stecken

Wer steckt hinter dem Leak persönlicher Daten von Politikern und Promis? Die aufwendige Aufbereitung der Daten lässt eine Nutzung für politische Kampagnen vermuten. Doch ein Youtuber soll dahinter stecken, der lediglich Aufmerksamkeit wollte.
Ein Bericht von Friedhelm Greis

  1. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  2. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen
  3. Datenleak Ermittler nehmen Verdächtigen fest

Privatsphäre: Kaum wird die App geöffnet, landen Daten bei Facebook
Privatsphäre
"Kaum wird die App geöffnet, landen Daten bei Facebook"

Viele Apps schicken ohne Zustimmung Daten an das soziale Netzwerk Facebook. Frederike Kaltheuner von der Organisation Privacy International erklärt, wie Nutzer sich wehren können.
Ein Interview von Hakan Tanriverdi

  1. Facebook 15.000 Moderatoren und ein lückenhaftes Regelwerk
  2. Facebook Netflix und Spotify bekamen Zugriff auf private Nachrichten
  3. Datenschutz Löschen des Tracking-Verlaufs auf Facebook macht Probleme

    •  /