Abo
  • Services:

Paketverwaltung: Apt mit Lücken bei der Validierung

Der Paketmanager Apt hat eine Reihe von Lücken bei der Validierung von Paketen. Aktualisierungen für die Linux-Distributionen Debian und Ubuntu stehen inzwischen bereit.

Artikel veröffentlicht am ,
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung.
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung. (Bild: Debian)

Wie die Sicherheitsteams von Debian und Ubuntu bekanntgeben, weist die von beiden Distributionen genutzte Paketverwaltung Apt eine Reihe von Lücken bei der Validierung von Paketen auf. Für die stabilen Zweige der beiden Distributionen, Debian Wheezy und Squeeze sowie die verschiedenen Ubuntu-LTS-Versionen, stehen Updates bereit. Debian Testing alias Jessie wird das aktualisierte Paket aus Sid bekommen. Das in Entwicklung befindliche Ubuntu 14.10 alias Utopic Unicorn verfügt ebenso über Pakete ohne die Lücken.

Stellenmarkt
  1. Dr. August Oetker KG, Bielefeld
  2. Villeroy & Boch AG, Mettlach

Konkret überprüft Apt die Signaturen nicht korrekt, die mit apt-get download heruntergeladen, aber noch nicht installiert worden sind. Dadurch könnten auch Pakete mit ungültigen Signaturen akzeptiert werden, was eine Manipulation durch Dritte ermöglichen könnte. Dies ist ebenfalls durch eine Lücke in der Option Acquire::GzipIndexes möglich, welche die Validierung der Prüfsumme überspringt. Unter Ubuntu ist diese Option aber nicht standardmäßig aktiviert.

Wechselt Apt von einem nicht authentifizierten in einen authentifizierten Zustand, werden vorher bereits heruntergeladene Daten der Paketquellen nicht für ungültig erklärt und neu angelegt, wodurch Sicherheitsrichtlinien umgangen werden können. Zusätzlich dazu ist das Umgehen durch eine falsche Auswertung des HTTP-Statuscodes 304 möglich. Dieser beschreibt, dass die Quelle seit dem letzten Aufruf nicht verändert worden ist.

Es ist davon auszugehen, dass auch andere Distributionen, die direkt oder indirekt auf Debian und Ubuntu aufbauen, wie etwa Linux Mint, ebenfalls von den Fehlern betroffen sind. Informationen dazu stehen aber noch nicht bereit.



Anzeige
Top-Angebote
  1. (u. a. The Revenant, Spider-Man Homecoming, Jurassic World)
  2. (aktuell u. a. Intel NUC Kit 299€, ASUS ROG MAXIMUS XI HERO (WiFI) Call of Duty Black Ops 4...
  3. 3,79€
  4. (u. a. Shadow of the Tomb Raider Croft Edition 39,99€)

tundracomp 21. Sep 2014

Leider ist es nach vielen Jahren noch immer so, dass man die besten Ergebnisse IMHO mit...

UNIXOID 19. Sep 2014

Wer Fremdquellen einbindet, ist »schwups« selbst daran schuld, ein inkonsistentes System...

jonny-boy 19. Sep 2014

Meiner Meinung nach können freie Programme zwar durchaus gute Alternativen zu bestimmten...

__destruct() 18. Sep 2014

Wie wird dieser denn falsch ausgewertet?


Folgen Sie uns
       


Metro Exodus - Fazit

In Metro Exodus kommt Artjom endlich streckenweise wirklich an die frische Luft.

Metro Exodus - Fazit Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
Android-Smartphone
10 Jahre in die Vergangenheit in 5 Tagen

Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
Ein Erfahrungsbericht von Martin Wolf

  1. Android Q Google will den Zurück-Button abschaffen
  2. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
  3. Google Auf dem Weg zu reinen 64-Bit-Android-Apps

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


      •  /