Fehler im Debian-Paketmanager behoben
Quelle: Chris Lamb | Lizenz: GPLv3

Ein kritischer Fehler in Debians Paketmanager APT wurde durch die Tatsache begünstigt, dass Debian und andere Distributionen für die Auslieferung ihrer Pakete an die Nutzer HTTP anstatt HTTPS nutzen. Durch HTTP-Redirects konnte per Man-in-the-Middle-Angriff dem Paketmanager APT ein Paket untergeschoben und sogar mit einer vermeintlich korrekten Signatur versehen werden.

Schwieriger mit HTTPS

Der letzte Teil wäre mit der Verwendung von HTTPS schwieriger zu bewerkstelligen. Das solcherart untergeschobene Paket konnte dann beliebigen Schadcode ausführen wenn es gestartet wurde. Entdeckt wurde die Lücke von Max Justicz, der sie in seinem Blog näher beschreibt. Betroffen waren neben Debian, Ubuntu und Linux Mint auch alle anderen Derivate.

Bitte aktualisieren

Die Debian-Entwickler wurden einige Tage vor der Veröffentlichung der Lücke informiert, sodass Patches für verschiedene Versionen von Debian und Ubuntu zu dem Zeitpunkt bereits zur Verfügung standen. Anwender sind dringend dazu aufgerufen, die aktualisierten Pakete zeitnah zu installieren.

Auf der sicheren Seite

Um, dabei gänzlich sicher zu sein, dass das System beim Upgrade nicht kompromittiert wird, empfiehlt Debian das Abschalten von Redirects während der Aktualisierung. Das kann mit folgenden Zeilen erreicht werden:

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

Ironischerweise wurde der Fehler zu einem Zeitpunkt veröffentlicht, in dem eine schon öfter geführte Diskussion darüber, ob es Sinn ergibt, Pakete aus Repositories per HTTPS auszuliefern, wieder aufflammt.

Für und gegen

Die Argumente, die bisher gegen HTTPS für die Auslieferung von Debian-Paketen ins Feld geführt wurden, verweisen auf die Komplexität der Bereitstellung eines riesigen weltweiten Mirror-Netzwerks, das über SSL verfügbar ist. Ein Wechsel zu HTTPS würde auch bedeuten, dass die Vorteile lokaler Proxy-Server zur Beschleunigung des Zugriffs nicht mehr genutzt werden könnten. Der Sicherheitsgewinn durch HTTPS wird kontrovers diskutiert.

Verwandte Themen

KNOPPIX 8.5 vorgestellt
views 344
Logo: Rugby471 | Lizenz: GPLKlaus Knopper hat gerade auf den Chemnitzer Linuxtagen 2019 die neueste Version seiner Distribution Knoppix vorgestel...
Debian wählt neuen Projektleiter
views 237
Bild: Debian | Quelle Mohd Sohail | Lizenz: CC BY-SA-2.0Debian hatte in diesem Jahr einige Mühe, Kandidaten für die immer im Frühjahr anstehende...
Debian-Paketbetreuer kritisiert die Distribution
views 735
Bild: Alex Makas | Lizenz: GPL-2.0+Der Schweizer Entwickler Michael Stapelberg hat über mehr als zehn Jahre eine Reihe von Paketen innerhalb von ...
GNU/Linux Debian 9.8 »Stretch« freigegeben
views 685
Screenshot: ftNicht einmal einen Monat nach Debian 9.7 hat das Debian-Release-Team mit Debian 9.8 »Stretch« das achte Punkt-Release für die Stabl...
DebianGNU/Linux 9.7 »Stretch« freigegeben
views 645
Screenshot: ftNormalerweise deckt ein Punkt-Release bei Debian sowohl die Sicherheitslücken als auch Fehler in Paketen aus den letzten Monaten ab...

Beitrag kommentieren

Alle Kommentare
  • Nick

    25.01.2019, 05:56 Uhr

    Es gibt grundsätzlich keine validen Argumente gegen TLS. Und spätestens seit Let’s Encrypt, gilt das Argument mit korrupten CAs nicht länger. Ebenso sind Proxys absolut nachrangig hinsichtlich Sicherheit. Und anhand des verschlüsselten Datenstroms zu ermitteln, was gerade heruntergeladen wird, ist verdammt weit hergeholt. Maximal kann ein Angreifer wissen, dass es irgendein Paket von irgendeinem Mirror ist, mehr aber auch nicht. Die Verschlüsselung selbst verhindert bereits, dass Datensätze 1:1 identisch sind von der Größe, was ohnehin zufällig generiert wird. Aber bekanntlich gibt es endlose Ausreden in Sachen TLS, anstatt die Energie sinnvoll zu nutzen, vorsorglich nur auf diese Weise zu kommunizieren. Und nebenbei erwähnt, war der Code der dem Parsen der Signaturen diente, absolut fahrlässig. Mir unbegreiflich wie man Inhalte lesen kann, ohne sicherzustellen, dass diese auch ausschließlich aus dem Format bestehen was erwartet wird. Kann doch nicht angehen, über oder unter Signaturen beliebige Daten reindrücken zu können, die dann auch noch verarbeitet werden.