CVE-2016-1252: apt security update

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
schorsch_76
Beiträge: 2640
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

CVE-2016-1252: apt security update

Beitrag von schorsch_76 » 16.12.2016 09:33:31

Auf der Security Debian Liste hab ich das folgende gelesen:
Jann Horn of Google Project Zero discovered that APT, the high level
package manager, does not properly handle errors when validating
signatures on InRelease files. An attacker able to man-in-the-middle
HTTP requests to an apt repository that uses InRelease files
(clearsigned Release files), can take advantage of this flaw to
circumvent the signature of the InRelease file, leading to arbitrary
code execution.
https://lists.debian.org/debian-securit ... 00316.html

:? Unschön. Sehr unschön .... :?
Nach oben
uname
Beiträge: 12539
Registriert: 03.06.2008 09:33:02

Re: CVE-2016-1252: apt security update

Beitrag von uname » 16.12.2016 10:57:45

Sehr schöne Beschreibung inkl. Anleitung wie man per MiM die Sicherheitslücke ausnutzt.

https://bugs.launchpad.net/ubuntu/+sour ... ug/1647467

Sicherheitslücken gibt es immer. Ich würde sagen, dass das Konzept nicht vollständig durchdacht war.
Schlimmer fande ich seinerzeit den SSL-Bug https://www.debian.org/security/2008/dsa-1571 . Das war der Supergau.
Nach oben
DeletedUserReAsG

Re: CVE-2016-1252: apt security update

Beitrag von DeletedUserReAsG » 16.12.2016 11:18:19

Eine akute Gefahr sehe ich da aber auch eher bei Fremdquellen. Zumindest hoffe ich, dass die debianeigenen Repos es einem Angreifer nicht zu einfach machen, die betreffenden Daten zu manipulieren – aber bei Fremdquellen und insbesondere auch PPA wäre ich mir nicht so sicher, ob die immer von vertrauenswürdigen und kompetenten Leuten betrieben werden ….
Nach oben
inne
Beiträge: 3304
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: CVE-2016-1252: apt security update

Beitrag von inne » 17.12.2016 14:14:58

Fefe hat da auch was zu geschrieben:
http://blog.fefe.de/?ts=a6ade21d hat geschrieben: Übrigens ist damals wie heute die korrekte Reaktion nicht "mal die Pakete updaten" sondern "mal das System komplett frisch aufsetzen".
Da hoffen wir mal mit niemand, das er recht hat.
Nach oben
mludwig
Beiträge: 809
Registriert: 30.01.2005 19:35:04

Re: CVE-2016-1252: apt security update

Beitrag von mludwig » 19.12.2016 15:39:24

Wenn ich das recht verstehe, ist das völlig unabhängig davon ob Fremdquelle oder nicht. Die Gefahr ist ein MITM, also dass sich jemand zwischen meine Debian-Maschine und mein Debian-Repository, das ich für das Update nutze, klemmt. Dann schiebt er mir gefälschte Pakete mit bösartigem Inhalt unter, und die Signaturprüfung schlägt wegen dem erwähnten Bug in 25% der Fälle nicht Alarm und installiert das Paket. Da einige Repos nicht über https arbeiten, ist der MITM dort auch machbar ohne das es auffällt.
Nach oben
Antworten

Zurück zu „Sicherheit“