Abo
  • Services:

Paketverwaltung: Apt mit Lücken bei der Validierung

Der Paketmanager Apt hat eine Reihe von Lücken bei der Validierung von Paketen. Aktualisierungen für die Linux-Distributionen Debian und Ubuntu stehen inzwischen bereit.

Artikel veröffentlicht am ,
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung.
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung. (Bild: Debian)

Wie die Sicherheitsteams von Debian und Ubuntu bekanntgeben, weist die von beiden Distributionen genutzte Paketverwaltung Apt eine Reihe von Lücken bei der Validierung von Paketen auf. Für die stabilen Zweige der beiden Distributionen, Debian Wheezy und Squeeze sowie die verschiedenen Ubuntu-LTS-Versionen, stehen Updates bereit. Debian Testing alias Jessie wird das aktualisierte Paket aus Sid bekommen. Das in Entwicklung befindliche Ubuntu 14.10 alias Utopic Unicorn verfügt ebenso über Pakete ohne die Lücken.

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. InnoLas Solutions GmbH, Krailling Raum München

Konkret überprüft Apt die Signaturen nicht korrekt, die mit apt-get download heruntergeladen, aber noch nicht installiert worden sind. Dadurch könnten auch Pakete mit ungültigen Signaturen akzeptiert werden, was eine Manipulation durch Dritte ermöglichen könnte. Dies ist ebenfalls durch eine Lücke in der Option Acquire::GzipIndexes möglich, welche die Validierung der Prüfsumme überspringt. Unter Ubuntu ist diese Option aber nicht standardmäßig aktiviert.

Wechselt Apt von einem nicht authentifizierten in einen authentifizierten Zustand, werden vorher bereits heruntergeladene Daten der Paketquellen nicht für ungültig erklärt und neu angelegt, wodurch Sicherheitsrichtlinien umgangen werden können. Zusätzlich dazu ist das Umgehen durch eine falsche Auswertung des HTTP-Statuscodes 304 möglich. Dieser beschreibt, dass die Quelle seit dem letzten Aufruf nicht verändert worden ist.

Es ist davon auszugehen, dass auch andere Distributionen, die direkt oder indirekt auf Debian und Ubuntu aufbauen, wie etwa Linux Mint, ebenfalls von den Fehlern betroffen sind. Informationen dazu stehen aber noch nicht bereit.



Anzeige
Hardware-Angebote
  1. bei dell.com
  2. bei Alternate kaufen
  3. 116,75€ + Versand

tundracomp 21. Sep 2014

Leider ist es nach vielen Jahren noch immer so, dass man die besten Ergebnisse IMHO mit...

UNIXOID 19. Sep 2014

Wer Fremdquellen einbindet, ist »schwups« selbst daran schuld, ein inkonsistentes System...

jonny-boy 19. Sep 2014

Meiner Meinung nach können freie Programme zwar durchaus gute Alternativen zu bestimmten...

__destruct() 18. Sep 2014

Wie wird dieser denn falsch ausgewertet?


Folgen Sie uns
       


Nach E-Fail, was tun ohne sichere E-Mails - Livestream

Die E-Fail genannte Sicherheitslücke betrifft die standardisierten E-Mail-Verschlüsselungsverfahren OpenPGP und S/MIME. Im Livestream diskutieren wir den technischen Hintergrund der zuletzt aufgedeckten Lücken und besprechen, was Nutzer nun tun können, wenn sie ihre Nachrichten weiter sicher verschicken wollen.

Nach E-Fail, was tun ohne sichere E-Mails - Livestream Video aufrufen
Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Pillars of Eternity 2 im Test: Fantasy unter Palmen
Pillars of Eternity 2 im Test
Fantasy unter Palmen

Ein klassisches PC-Rollenspiel in der Art von Baldur's Gate, aber in einem karibisch angehauchten Szenario mit Piraten und Segelschiffen: Pillars of Eternity 2 entpuppt sich im Test als spannendes Abenteuer mit viel Flair.
Ein Test von Peter Steinlechner


    SpaceX: Rundum verbesserte Falcon 9 fliegt zum ersten Mal
    SpaceX
    Rundum verbesserte Falcon 9 fliegt zum ersten Mal

    Landen, Auftanken und 24 Stunden später wieder starten. Das will SpaceX mit der neusten und endgültigen Version der Falcon-9-Rakete erreichen. In der letzten Nacht hat sie erfolgreich einen Satelliten für Bangladesch in den Orbit gebracht.
    Von Frank Wunderlich-Pfeiffer


        •  /