Abo
  • Services:
Anzeige
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt.
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt. (Bild: rpm.org)

Linux-Paketmanager: RPM-Entwicklung verläuft chaotisch

Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt.
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt. (Bild: rpm.org)

Unser Autor hat versucht, potenzielle Sicherheitslücken im Paketmanager RPM zu melden, der von Red Hat, Suse und weiteren Linux-Distributionen genutzt wird. Doch das war gar nicht so einfach. Für einen Stack-Buffer-Overflow steht nach wie vor kein Fix bereit.
Von Hanno Böck

Im November 2015 hat der Autor dieses Artikels versucht, Bugs und mögliche Sicherheitslücken in den Paketmanagern populärer Linux-Distributionen zu finden. Während Debian und Ubuntu auf die Fehlerberichte im Paketmanager DPKG innerhalb von wenigen Tagen reagierten und Sicherheitswarnungen herausgaben, gestaltete sich der Prozess bei RPM (RPM Package Manager) schwieriger.

Anzeige

Unabhängiges Projekt seit 2007

RPM wurde ursprünglich von Red Hat entwickelt, der Name stand für Red Hat Package Manager. Seit 2007 ist RPM jedoch ein unabhängiges Projekt, das von mehreren Linux-Distributionen genutzt wird. Nach wie vor wird es aber federführend von Red-Hat-Angestellten betreut.

Die Webseite von RPM - unter rpm.org - ist eine Installation des Tools Trac. Dieses besitzt automatisch auch einen integrierten Bugtracker. Versucht man, sich für diesen zu registrieren, wird man auf eine HTTPS-Webseite weitergeleitet, deren Zertifikat 2012 abgelaufen ist und nicht zur Domain passt. Doch selbst wenn man dies ignoriert und sich registriert, kann man keine Bugs anlegen - laut der Seite soll man erst im IRC-Channel oder auf der Mailingliste nach einer Berechtigung zum Anlegen von Bugs fragen.

Da es sich bei den gefundenen Bugs um potenzielle Sicherheitslücken handelt, bot sich jedoch als naheliegende Kontaktmöglichkeit das Sicherheitsteam von Red Hat an. In einer Mail sendete der Autor dieses Artikels mehrere Beispieldateien, die verschiedene Bugs in RPM auslösten, darunter invalide Lesespeicherzugriffe und ein Stack-Buffer-Overflow. Gefunden wurden diese mittels des Tools American Fuzzy Lop, ein Fuzzing-Tool, das mittels fehlerhafter Eingaben die Robustheit von Programmen testet.

Mehrere Fehlerberichte mittels Fuzzing

Offenbar war dies nicht der erste Bericht dieser Art. Das Sicherheitsteam von Red Hat teilte mit, dass kurz zuvor ein Bericht mit 30 verschiedenen Beispieldateien, die RPM zum Absturz brächten, eingegangen sei, und dass es einige Zeit dauern werde, bis diese abgearbeitet würden.

Im März erfolgte eine Nachfrage. Daraufhin gab es einen Verweis auf ein Github-Repository, in dem offenbar die aktuelle Entwicklung von RPM stattfindet. Dort waren einige - aber nicht alle - der berichteten Bugs bereits behoben. Auf der Webseite von RPM gibt es keinerlei Hinweise auf dieses Github-Repository.

Gehört rpm.org Red Hat oder nicht?

Auf den Hinweis, dass der Bug-Reporting-Prozess nicht optimal sei, kam die Aussage, dass es sich bei RPM um ein Upstream-Projekt handle und Red Hat nichts daran ändern könne. Allerdings: Betrieben wird die rpm.org-Webseite offenbar trotzdem von Red Hat. Zumindest laut Whois-Informationen ist die Domain von Red Hat selbst registriert.

Schwierig ist es auch, herauszufinden, was die aktuelle Version von RPM ist. Laut rpm.org-Webseite die Version 4.12.0.1, von einer Version 4.13.0 gibt es lediglich einen Release Candidate. Fedora nutzt offenbar schon Version 4.13.0 mit einer ganzen Reihe von zusätzlichen Patches. Laut dem Github-Repository, auf dem die aktuelle Entwicklung stattfindet, ist die derzeitige Version jedoch 4.12.0.

Die berichteten Bugs sind möglicherweise nicht schwerwiegend. Zumindest die Testdateien, die der Autor dieses Artikels mit dem Tool American Fuzzy Lop erzeugt hat, scheitern bereits an der Signaturprüfung von RPM, bevor sie fehlerhafte Speicherzugriffe auslösen. Ausnutzbar sind sie demnach vermutlich nur, wenn ein Angreifer sein Opfer dazu bringt, auf der Kommandozeile eine bösartige RPM-Datei zu analysieren. Doch auch unkritische Sicherheitslücken sollten gefixt werden. Außerdem zeigt der Vorfall deutlich, dass der Entwicklungsprozess von RPM nicht rundläuft.

Eine kurze Beschreibung der einzelnen Bugs (samt Links auf die Beispieldateien) und einen englischsprachigen Blogpost gibt es hier.


eye home zur Startseite
Proctrap 31. Aug 2016

+1, leider.. (Doch, findet sich ab jetzt im Thread, zwei Posts über diesem..)

wikwam 31. Aug 2016

klick auf Leseansicht im FF und der Typ is wech....

xmaniac 31. Aug 2016

...das ist doch der Vorteil an Open-Source!

hannob (golem.de) 30. Aug 2016

Hallo, um die Frage zu beantworten, die Seite hatte ich erst während eines...



Anzeige

Stellenmarkt
  1. NOSTA Group, Ladbergen
  2. SCA Schucker GmbH & Co. KG, Bretten
  3. Landesbetrieb IT.Niedersachsen, Hannover und Braunschweig
  4. Daimler AG, Sindelfingen


Anzeige
Blu-ray-Angebote
  1. zusätzlich 5 EUR Sofortrabatt sichern
  2. (u. a. Der Marsianer 8,79€, Blade Runner 8,97€, Interstellar 8,74€, X-Men Apocalypse 8,79€)
  3. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Umweltbundesamt

    Software-Updates für Diesel reichen nicht

  2. Acer Nitro 5 Spin

    Auf dem Gaming-Convertible spielen und zeichnen

  3. Galaxy Note 8 im Hands on

    Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  4. Microsoft

    Git-Umzug von Windows-Team abgeschlossen

  5. Play Store

    Google entfernt 500 Android-Apps mit 100 Millionen Downloads

  6. DreamHost

    US-Regierung will nun doch keine Daten von Trump-Gegnern

  7. Project Brainwave

    Microsoft beschleunigt KI-Technik mit Cloud-FPGAs

  8. Microsoft

    Im Windows Store gibt es viele illegale Streaming-Apps

  9. Alpha-One

    Lamborghini-Smartphone für über 2.000 Euro vorgestellt

  10. Wireless-AC 9560

    Intel packt WLAN in den Prozessor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered im Test: Klick, klick, klick, klick, klick als wär es 1998
Starcraft Remastered im Test
Klick, klick, klick, klick, klick als wär es 1998
  1. Blizzard Der Name Battle.net bleibt
  2. Starcraft Remastered "Mit den Protoss kann man seinen Gegner richtig nerven!"
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Fujitsu Lifebook U937 im Test: 976 Gramm reichen für das fast perfekte Notebook
Fujitsu Lifebook U937 im Test
976 Gramm reichen für das fast perfekte Notebook
  1. DLU Fujitsu entwickelt Deep-Learning-Chips

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

  1. Re: Öhm...

    Saruss | 06:50

  2. Re: Das wäre ein Auto für mich

    Auspuffanlage | 06:48

  3. Re: Nach Update immer noch über Grenzwert...

    latschen6 | 06:44

  4. Re: Stickoxide....

    Michael0712 | 06:34

  5. ...altägyptisch

    latschen6 | 06:31


  1. 17:51

  2. 17:08

  3. 17:00

  4. 16:55

  5. 16:38

  6. 16:08

  7. 15:54

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel