Linux 15.009 Themen, 106.833 Beiträge

News: Hohes Risiko

Lücken in Paketmanagern

Redaktion / 18 Antworten / Flachansicht Nickles

Neuer Albtraum für Linux-Anwender: Sicherheitsexperten haben zehn Paketmanager für Linux und BSD untersucht, alle weisen gravierende Lücken auf! Hacker können damit Dateien löschen, Passwörter klauen oder eine Backdoor installieren.

Zu den beschriebenen Attacken gehört ein Replay-Angriff: Hacker können als Man-In-The-Middle Package-Metadaten abgreifen und dem Client veraltete Software mit Lücken unterschieben.

Zudem haben es die Forscher geschafft, sich als offizieller Mirror bei allen Distributionen zu registrieren.

Als Gegenmaßnamen werden empfohlen: Nur vertrauenswürdige Mirrors verwenden, keine automatischen Updates machen, signierte Metadaten verwenden und HTTPS mit dem Mirror einsetzen.

Quelle: University of Arizona

bei Antwort benachrichtigen
uscos Data Junkey „Die Frage ist jetzt nur, vieviele Hacker diese Lücken schon gefunden hatten,...“
Optionen

schau dir doch erstmal die fakten an. Zumindest die news ist so aufgebaut das es erstmal FUD ist. Die Quelle ist nicht verfuegbar. Und genau die wuerde ich mir mal gerne naeher ansehen.
Das in der news beschriebene szenario hoert sich doch eher unwahrscheinlich an, eben weil die mir bekannten Paketmanager mit signierten Paketen arbeiten.

Deswegen zweifle ich diese Untersuchung erstmal an. Das hoert sich eher danach an als ob die Forscher dort den Signaturcheck ausgestellt haben. Logisch das man dann auch eine Man in the middle Attacke starten kann.

Repos sind im allgemeinen so aufgebaut, das es einen key gibt pro repo mit dem die pakete signiert werden. Dieser key ist optimalerweise schon ab der installation auf dem jeweiligem System. So macht das z.B. openSUSE. In so einem Fall muss so eine Attacke theoretisch fehlschalgen, da auch beim man-in-the-middle der Mismatch auftritt.

Naja, ich lass mich uberraschen und warte ab.

Im uebrigen verstehe ich nicht deinen Bezug auf MS. Die haben eigentlich nie Probleme mit von Hackern manipulierten Updates gehabt.

bei Antwort benachrichtigen
47 * 67 :-D Olaf19
33 Jahre Prosseco