Abo
  • Services:
Anzeige
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt.
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt. (Bild: rpm.org)

Linux-Paketmanager: RPM-Entwicklung verläuft chaotisch

Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt.
Der Paketmanager RPM ist seit 2007 ein unabhängiges Projekt - was offenbar dazu führt, dass niemand sich zuständig fühlt. (Bild: rpm.org)

Unser Autor hat versucht, potenzielle Sicherheitslücken im Paketmanager RPM zu melden, der von Red Hat, Suse und weiteren Linux-Distributionen genutzt wird. Doch das war gar nicht so einfach. Für einen Stack-Buffer-Overflow steht nach wie vor kein Fix bereit.
Von Hanno Böck

Im November 2015 hat der Autor dieses Artikels versucht, Bugs und mögliche Sicherheitslücken in den Paketmanagern populärer Linux-Distributionen zu finden. Während Debian und Ubuntu auf die Fehlerberichte im Paketmanager DPKG innerhalb von wenigen Tagen reagierten und Sicherheitswarnungen herausgaben, gestaltete sich der Prozess bei RPM (RPM Package Manager) schwieriger.

Anzeige

Unabhängiges Projekt seit 2007

RPM wurde ursprünglich von Red Hat entwickelt, der Name stand für Red Hat Package Manager. Seit 2007 ist RPM jedoch ein unabhängiges Projekt, das von mehreren Linux-Distributionen genutzt wird. Nach wie vor wird es aber federführend von Red-Hat-Angestellten betreut.

Die Webseite von RPM - unter rpm.org - ist eine Installation des Tools Trac. Dieses besitzt automatisch auch einen integrierten Bugtracker. Versucht man, sich für diesen zu registrieren, wird man auf eine HTTPS-Webseite weitergeleitet, deren Zertifikat 2012 abgelaufen ist und nicht zur Domain passt. Doch selbst wenn man dies ignoriert und sich registriert, kann man keine Bugs anlegen - laut der Seite soll man erst im IRC-Channel oder auf der Mailingliste nach einer Berechtigung zum Anlegen von Bugs fragen.

Da es sich bei den gefundenen Bugs um potenzielle Sicherheitslücken handelt, bot sich jedoch als naheliegende Kontaktmöglichkeit das Sicherheitsteam von Red Hat an. In einer Mail sendete der Autor dieses Artikels mehrere Beispieldateien, die verschiedene Bugs in RPM auslösten, darunter invalide Lesespeicherzugriffe und ein Stack-Buffer-Overflow. Gefunden wurden diese mittels des Tools American Fuzzy Lop, ein Fuzzing-Tool, das mittels fehlerhafter Eingaben die Robustheit von Programmen testet.

Mehrere Fehlerberichte mittels Fuzzing

Offenbar war dies nicht der erste Bericht dieser Art. Das Sicherheitsteam von Red Hat teilte mit, dass kurz zuvor ein Bericht mit 30 verschiedenen Beispieldateien, die RPM zum Absturz brächten, eingegangen sei, und dass es einige Zeit dauern werde, bis diese abgearbeitet würden.

Im März erfolgte eine Nachfrage. Daraufhin gab es einen Verweis auf ein Github-Repository, in dem offenbar die aktuelle Entwicklung von RPM stattfindet. Dort waren einige - aber nicht alle - der berichteten Bugs bereits behoben. Auf der Webseite von RPM gibt es keinerlei Hinweise auf dieses Github-Repository.

Gehört rpm.org Red Hat oder nicht?

Auf den Hinweis, dass der Bug-Reporting-Prozess nicht optimal sei, kam die Aussage, dass es sich bei RPM um ein Upstream-Projekt handle und Red Hat nichts daran ändern könne. Allerdings: Betrieben wird die rpm.org-Webseite offenbar trotzdem von Red Hat. Zumindest laut Whois-Informationen ist die Domain von Red Hat selbst registriert.

Schwierig ist es auch, herauszufinden, was die aktuelle Version von RPM ist. Laut rpm.org-Webseite die Version 4.12.0.1, von einer Version 4.13.0 gibt es lediglich einen Release Candidate. Fedora nutzt offenbar schon Version 4.13.0 mit einer ganzen Reihe von zusätzlichen Patches. Laut dem Github-Repository, auf dem die aktuelle Entwicklung stattfindet, ist die derzeitige Version jedoch 4.12.0.

Die berichteten Bugs sind möglicherweise nicht schwerwiegend. Zumindest die Testdateien, die der Autor dieses Artikels mit dem Tool American Fuzzy Lop erzeugt hat, scheitern bereits an der Signaturprüfung von RPM, bevor sie fehlerhafte Speicherzugriffe auslösen. Ausnutzbar sind sie demnach vermutlich nur, wenn ein Angreifer sein Opfer dazu bringt, auf der Kommandozeile eine bösartige RPM-Datei zu analysieren. Doch auch unkritische Sicherheitslücken sollten gefixt werden. Außerdem zeigt der Vorfall deutlich, dass der Entwicklungsprozess von RPM nicht rundläuft.

Eine kurze Beschreibung der einzelnen Bugs (samt Links auf die Beispieldateien) und einen englischsprachigen Blogpost gibt es hier.


eye home zur Startseite
Proctrap 31. Aug 2016

+1, leider.. (Doch, findet sich ab jetzt im Thread, zwei Posts über diesem..)

wikwam 31. Aug 2016

klick auf Leseansicht im FF und der Typ is wech....

xmaniac 31. Aug 2016

...das ist doch der Vorteil an Open-Source!

hannob (golem.de) 30. Aug 2016

Hallo, um die Frage zu beantworten, die Seite hatte ich erst während eines...



Anzeige

Stellenmarkt
  1. ASS-Einrichtungssysteme GmbH, Stockheim / Oberfranken
  2. Deloitte GmbH Wirtschaftsprüfungsgesellschaft, verschiedene Standorte
  3. ETAS GmbH, Stuttgart
  4. Wilken NEUTRASOFT GmbH, Greven bei Münster/Westfalen


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 20,00€
  3. 13,99€

Folgen Sie uns
       


  1. Spionage

    FBI legt US-Unternehmen Kaspersky-Verzicht nahe

  2. Gebärdensprache

    Lautlos in der IT-Welt

  3. Denverton

    Intels Atom C3000 haben 16 Kerne bei 32 Watt

  4. JR Maglev

    Mitsubishi steigt aus Magnetbahn-Projekt aus

  5. Forschung

    HPE-Supercomputer sollen Missionen zum Mars unterstützen

  6. IEEE 802.11ax

    Broadcom bietet Chip-Plattform für das nächste 5-GHz-WLAN

  7. Alternativer PDF-Reader

    ZDI nötigt Foxit zum Patchen von Sicherheitslücken

  8. Elektro-Cabriolet

    Vision Mercedes-Maybach 6 mit 500 km Reichweite

  9. Eufy Genie

    Ankers Echo-Dot-Konkurrenz kostet 50 Euro

  10. Kaby Lake Refresh

    Intel bringt 15-Watt-Quadcores für Ultrabooks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Anschlag in Charlottesville: Nazis raus - aber nur aus PR-Gründen
Nach Anschlag in Charlottesville
Nazis raus - aber nur aus PR-Gründen
  1. Bundesinnenministerium Neues Online-Bürgerportal kostet 500 Millionen Euro
  2. EU-Transparenz EuGH bekräftigt nachträglichen Zugang zu Gerichtsakten
  3. Rücknahmepflicht Elektronikschrott wird kaum zurückgegeben

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

  1. Re: Tesla hat einen Markt

    bernd71 | 14:01

  2. Re: Meine Wohnung ist gerade im Bau....

    logged_in | 14:00

  3. Re: Piraten

    pythoneer | 14:00

  4. Re: und auf dem Rückflug braucht man keinen Computer?

    CheeponMeth | 13:59

  5. Erzähle nicht so einen Quatsch

    XoGuSi | 13:57


  1. 12:29

  2. 12:01

  3. 11:59

  4. 11:45

  5. 11:31

  6. 10:06

  7. 09:47

  8. 09:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel