Paketverwaltung: Apt mit Lücken bei der Validierung

Der Paketmanager Apt hat eine Reihe von Lücken bei der Validierung von Paketen. Aktualisierungen für die Linux-Distributionen Debian und Ubuntu stehen inzwischen bereit.

Artikel veröffentlicht am ,
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung.
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung. (Bild: Debian)

Wie die Sicherheitsteams von Debian und Ubuntu bekanntgeben, weist die von beiden Distributionen genutzte Paketverwaltung Apt eine Reihe von Lücken bei der Validierung von Paketen auf. Für die stabilen Zweige der beiden Distributionen, Debian Wheezy und Squeeze sowie die verschiedenen Ubuntu-LTS-Versionen, stehen Updates bereit. Debian Testing alias Jessie wird das aktualisierte Paket aus Sid bekommen. Das in Entwicklung befindliche Ubuntu 14.10 alias Utopic Unicorn verfügt ebenso über Pakete ohne die Lücken.

Konkret überprüft Apt die Signaturen nicht korrekt, die mit apt-get download heruntergeladen, aber noch nicht installiert worden sind. Dadurch könnten auch Pakete mit ungültigen Signaturen akzeptiert werden, was eine Manipulation durch Dritte ermöglichen könnte. Dies ist ebenfalls durch eine Lücke in der Option Acquire::GzipIndexes möglich, welche die Validierung der Prüfsumme überspringt. Unter Ubuntu ist diese Option aber nicht standardmäßig aktiviert.

Wechselt Apt von einem nicht authentifizierten in einen authentifizierten Zustand, werden vorher bereits heruntergeladene Daten der Paketquellen nicht für ungültig erklärt und neu angelegt, wodurch Sicherheitsrichtlinien umgangen werden können. Zusätzlich dazu ist das Umgehen durch eine falsche Auswertung des HTTP-Statuscodes 304 möglich. Dieser beschreibt, dass die Quelle seit dem letzten Aufruf nicht verändert worden ist.

Es ist davon auszugehen, dass auch andere Distributionen, die direkt oder indirekt auf Debian und Ubuntu aufbauen, wie etwa Linux Mint, ebenfalls von den Fehlern betroffen sind. Informationen dazu stehen aber noch nicht bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Google
Chromebooks bekommen "Linux-VMs" und "Terminal"
artikel-bild
Virtualisierung
Microsoft will einfach nutzbare Ubuntu-Gäste für Hyper-V
artikel-bild
Darpa
US-Militär will Pflanzen als Schadstoffsensoren einsetzen
Meistgelesen
artikel-bild
Diablo 4 im Test
Blizzards Meisterwerk definiert das Genre neu
artikel-bild
Vision Pro
Apples Mixed-Reality-Taucherbrille kostet 3.500 US-Dollar
artikel-bild
Vorstellung Vision Pro
Apple interessiert sich nicht fürs Metaverse
Kommentarübersicht
Re: apt doof zypper gut?
tundracomp 21. Sep 2014

Leider ist es nach vielen Jahren noch immer so, dass man die besten Ergebnisse IMHO mit...

Re: Realistisches Angriffsszenario?
UNIXOID 19. Sep 2014

Wer Fremdquellen einbindet, ist »schwups« selbst daran schuld, ein inkonsistentes System...

Re: Meinen Senf!
jonny-boy 19. Sep 2014

Meiner Meinung nach können freie Programme zwar durchaus gute Alternativen zu bestimmten...

Auswertung des 303
__destruct() 18. Sep 2014

Wie wird dieser denn falsch ausgewertet?

Aktuell auf der Startseite von Golem.de
Neue Apple-Chips
Das steckt hinter M2 Ultra und dem R1 der Vision Pro

Zwei Chips, aber nur einer ist wirklich neu: Wir werfen einen Blick auf die Technik hinter Apples M2 Ultra und analysieren, was der mysteriöse R1 kann.
Eine Analyse von Johannes Hiltscher

Neue Apple-Chips: Das steckt hinter M2 Ultra und dem R1 der Vision Pro
Artikel
  1. Apple: Vision Pro zwischen Finger-Tracking-Lob und Gewicht-Kritik
    Apple
    Vision Pro zwischen Finger-Tracking-Lob und Gewicht-Kritik

    Sehr gutes Bild, nahezu perfekte Bedienung aber ein bisschen zu schwer: Die ersten Hands-ons von Apple Vision Pro sind insgesamt positiv.

  2. Bluetooth-Kopfhörer von Anker 30 Prozent billiger bei Amazon
     
    Bluetooth-Kopfhörer von Anker 30 Prozent billiger bei Amazon

    Unter den Bluetooth-Kopfhörern mit Noise Cancelling ist der Anker Life Q30 die Nummer eins bei Amazon. Jetzt gibt es ihn zum Sonderpreis.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Deauther: Lücke in Ring-Kameras ermöglicht Einbrechern Abschaltung
    Deauther
    Lücke in Ring-Kameras ermöglicht Einbrechern Abschaltung

    Ein einfacher und leicht umsetzbarer WLAN-Angriff mache eine Ring-Überwachungskamera unbrauchbar, sagen Sicherheitsforscher.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • PS5-Spiele & Zubehör bis -75% • Samsung 990 Pro 1TB (PS5) 94€ • AirPods 2 125€ • Crucial SSD 1TB 41,99€ • Thrustmaster T300 RS 299,99€ • Bis 50 % auf Gaming-Produkte bei NBB • PS5 inkl. Spiel 549€ • MSI RTX 4070 Ti 999€ • MindStar: AMD Ryzen 7 5800X3D 285€, RX 7900 XTX 989€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /