Die u. g. Sicherheitslücke in apt ist ja mittlerweile beseitigt und das System ist auch schon aktualisiert.
Um die Sicherheit noch ein klein wenig zu erhöhen wollte ich das Aktualisieren der Paketquellen von http auf https umstellen.- -------------------------------------------------------------------------
Debian Security Advisory DSA-4371-1 security@debian.org
https://www.debian.org/security/ Yves-Alexis Perez
January 22, 2019 https://www.debian.org/security/faq
- -------------------------------------------------------------------------
Package : apt
CVE ID : CVE-2019-3462
Max Justicz discovered a vulnerability in APT, the high level package manager.
The code handling HTTP redirects in the HTTP transport method doesn't properly
sanitize fields transmitted over the wire. This vulnerability could be used by
an attacker located as a man-in-the-middle between APT and a mirror to inject
malicous content in the HTTP connection. This content could then be recognized
as a valid package by APT and used later for code execution with root
privileges on the target machine....
https://lists.debian.org/debian-securit ... 00010.html
Gar nicht so einfach, da es bei einigen Spiegelservern Probleme mit den SSL-Zertifikaten gibt.
Meine sources.list
Code: Alles auswählen
deb http://deb.debian.org/debian/ stretch main
#deb-src https://deb.debian.org/debian/ stretch main
deb http://deb.debian.org/debian-security/ stretch/updates main contrib non-free
#deb-src https://deb.debian.org/debian-security/ stretch/updates main contrib n$
deb http://deb.debian.org/debian/ stretch-updates main contrib non-free
#deb-src https://deb.debian.org/debian/ stretch-updates main contrib non-free
Probleme geklappt. Die Pakete werden über https geladen.
Auf einem bestehenden System mit Debian 9.7 funktioniert die
beschriebene Umstellung nicht.
Ich habe das System damals von Debian 6 (squeeze) auf Debian 8 (jessie)
und dann Debian 9 (strech) aktualisiert.
Das Update per https schlägt fehl.
Code: Alles auswählen
root@debian9:~# apt-get update
Ign:1 https://deb.debian.org/debian stretch InRelease
Ign:2 https://deb.debian.org/debian-security stretch/updates InRelease
Ign:3 https://deb.debian.org/debian stretch-updates InRelease
Err:4 https://deb.debian.org/debian stretch Release
Err:5 https://deb.debian.org/debian-security stretch/updates Release
Err:6 https://deb.debian.org/debian stretch-updates Release
Reading package lists... Done
E: The repository 'https://deb.debian.org/debian stretch Release' does
no longer have a Release file.
N: Updating from such a repository can't be done securely, and is
therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user
configuration details.
E: The repository 'https://deb.debian.org/debian-security
stretch/updates Release' does no longer have a Release file.
N: Updating from such a repository can't be done securely, and is
therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user
configuration details.
E: The repository 'https://deb.debian.org/debian stretch-updates
Release' does no longer have a Release file.
N: Updating from such a repository can't be done securely, and is
therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user
configuration details.
root@debian9:~#
System funktioniert.
Die gleichen Quellen (deb.debian.org) funktionieren z.B. über http ohne
Probleme.
Bei Verwendung von https kommt es zu diesem genannten Fehler.
Paket apt-transport-https habe ich installiert.
Es muss wohl einen Unterschied in der Konfiguration? zu den anderen
System geben, damit das Updaten als unsecure eingestuft wird.
Code: Alles auswählen
E: The repository 'https://deb.debian.org/debian stretch Release' does
no longer have a Release file.
N: Updating from such a repository can't be done securely, and is
therefore disabled by default.
Bin hier leider etwas ratlos...
Außerdem habe ich keinen Anhaltspunkt nach was ich suchen soll....
Gruß starbuck28