Red Hat-Paketsystem RPM braucht Nachbesserung

Photo by CHUTTERSNAP on Unsplash

Im März 2021 hatte Dmitry Antipov, einer der Entwickler bei CloudLinux, der Firma hinter Alma Linux, entdeckt, dass die Signaturprüfung von RPM-Paketen unvollständig ist. Antipov sieht das als Sicherheitslücke, RPM-Entwickler Panu Matilainen eher als fehlende Implementierung von Teilaspekten der Signaturprüfung. Logisch, was nicht implementiert ist, kann keine Fehler enthalten. Geht aber völlig am Problem vorbei. Egal, wie man es benennen will, böswillige Akteure können dieses Verhalten ausnutzen, um einen widerrufenen oder abgelaufenen Schlüssel zur Installation schädlicher Pakete zu verwenden.

Widerruf ist eines der vielen nicht implementierten Dinge in der OpenPGP-Unterstützung von RPM. Mit anderen Worten, Sie sehen keinen Fehler als solchen; es ist einfach überhaupt nicht implementiert, ähnlich wie es die Ablaufzeit nicht ist.

Panu Matilainen auf GitHub

Seit 24 Jahren unsicher

Wie bei Debian mit DEB, werden Pakete im Paketformat RPM, was für Red Hat Package Manager steht, vom jeweiligen Maintainer mit seinem privaten Schlüssel signiert, dem die Anwender der Pakete vertrauen müssen. Seit der Einführung von RPM im Jahr 1997 durch Red Hat-Gründer Marc Ewing und Entwickler Erik Troan fehlen der Paketverwaltung sicherheitskritische Mechanismen wie die Prüfung, ob ein Schlüssel abgelaufen ist oder zurückgezogen wurde (revoked). Schlüssel werden unter anderem zurückgezogen, wenn sie kompromittiert sind. Somit passieren auch Pakete, die keinen gültigen Schlüssel mehr haben, die Sicherheitsbarriere, wie der Bugreport auf GitHub aufzeigt.

Patch-Implementierung kann dauern

Antipov hat einen Patch bereitgestellt, befürchtet aber, es könne aufgrund der Komplexität der Materie Monate dauern, bis der Patch angenommen, implementiert und bei den Anwendern angekommen ist. Da diese prekäre, leicht auszunutzende Lücke nun publik ist, denkt Antipov über eine CVE-Katalogisierung (Common Vulnerabilities and Exposures) bei Red Hat nach, um der Angelegenheit mehr Nachdruck zu verleihen.

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
12 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments