Abo
  • Services:
Anzeige
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung.
Die Paketverwaltung Apt von Debian hat Fehler bei der Paket-Validierung. (Bild: Debian)

Paketverwaltung: Apt mit Lücken bei der Validierung

Der Paketmanager Apt hat eine Reihe von Lücken bei der Validierung von Paketen. Aktualisierungen für die Linux-Distributionen Debian und Ubuntu stehen inzwischen bereit.

Anzeige

Wie die Sicherheitsteams von Debian und Ubuntu bekanntgeben, weist die von beiden Distributionen genutzte Paketverwaltung Apt eine Reihe von Lücken bei der Validierung von Paketen auf. Für die stabilen Zweige der beiden Distributionen, Debian Wheezy und Squeeze sowie die verschiedenen Ubuntu-LTS-Versionen, stehen Updates bereit. Debian Testing alias Jessie wird das aktualisierte Paket aus Sid bekommen. Das in Entwicklung befindliche Ubuntu 14.10 alias Utopic Unicorn verfügt ebenso über Pakete ohne die Lücken.

Konkret überprüft Apt die Signaturen nicht korrekt, die mit apt-get download heruntergeladen, aber noch nicht installiert worden sind. Dadurch könnten auch Pakete mit ungültigen Signaturen akzeptiert werden, was eine Manipulation durch Dritte ermöglichen könnte. Dies ist ebenfalls durch eine Lücke in der Option Acquire::GzipIndexes möglich, welche die Validierung der Prüfsumme überspringt. Unter Ubuntu ist diese Option aber nicht standardmäßig aktiviert.

Wechselt Apt von einem nicht authentifizierten in einen authentifizierten Zustand, werden vorher bereits heruntergeladene Daten der Paketquellen nicht für ungültig erklärt und neu angelegt, wodurch Sicherheitsrichtlinien umgangen werden können. Zusätzlich dazu ist das Umgehen durch eine falsche Auswertung des HTTP-Statuscodes 304 möglich. Dieser beschreibt, dass die Quelle seit dem letzten Aufruf nicht verändert worden ist.

Es ist davon auszugehen, dass auch andere Distributionen, die direkt oder indirekt auf Debian und Ubuntu aufbauen, wie etwa Linux Mint, ebenfalls von den Fehlern betroffen sind. Informationen dazu stehen aber noch nicht bereit.


eye home zur Startseite
tundracomp 21. Sep 2014

Leider ist es nach vielen Jahren noch immer so, dass man die besten Ergebnisse IMHO mit...

UNIXOID 19. Sep 2014

Wer Fremdquellen einbindet, ist »schwups« selbst daran schuld, ein inkonsistentes System...

jonny-boy 19. Sep 2014

Meiner Meinung nach können freie Programme zwar durchaus gute Alternativen zu bestimmten...

__destruct() 18. Sep 2014

Wie wird dieser denn falsch ausgewertet?



Anzeige

Stellenmarkt
  1. COSMO CONSULT, Berlin
  2. Scheidt & Bachmann System Service GmbH, Mönchengladbach bei Düsseldorf
  3. diconium digital solutions GmbH, Stuttgart
  4. Axians IT Solutions GmbH, Ulm, Stuttgart, München, Nürnberg oder Karlsruhe


Anzeige
Hardware-Angebote
  1. 17,99€ statt 39,99€
  2. ab 649,90€
  3. 100,99€ inkl. Abzug, Preis wird im Warenkorb angezeigt (Vergleichspreis 148€)

Folgen Sie uns
       


  1. Counter-Strike Go

    Bei Abschuss Ransomware

  2. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  3. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  4. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  5. Mobile

    Razer soll Smartphone für Gamer planen

  6. Snail Games

    Dark and Light stürmt Steam

  7. IETF

    Netzwerker wollen Quic-Pakete tracken

  8. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  9. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  10. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  3. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic

Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht

Razer Lancehead im Test: Drahtlose Symmetrie mit Laser
Razer Lancehead im Test
Drahtlose Symmetrie mit Laser
  1. Razer Blade Stealth 13,3- statt 12,5-Zoll-Panel im gleichen Gehäuse
  2. Razer Core im Test Grafikbox + Ultrabook = Gaming-System
  3. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

  1. Re: kein einziger meter

    Geistesgegenwart | 20:23

  2. Re: warum kann man die RTT nicht mehr messen?

    Poison Nuke | 20:21

  3. Und wie führt man dann den code aus?

    honna1612 | 20:15

  4. Re: Cooles Thema aber...

    Der Held vom... | 20:07

  5. Re: Perfekt für Razer Kunden!

    Subotai | 19:57


  1. 12:43

  2. 11:54

  3. 09:02

  4. 16:55

  5. 16:33

  6. 16:10

  7. 15:56

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel