The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в пакетном менеджере APT, проявляющаяся в конфигурациях с зеркалами

22.08.2018 18:30

В пакетном менеджере APT выявлена уязвимость (CVE-2018-0501) в реализации метода "mirror://", позволяющая обойти проверку пакета по цифровой подписи. При использовании конфигурации с зеркалами (протокол mirror:// в sources.list) атакующий, контролирующий трафик (MiTM), может спровоцировать ситуацию в которой проверка подписи файла InRelease производится некорректно, что может использоваться для подмены содержимого пакетов. Проблема проявляется в ветках 1.6.x и 1.7.x и устранена в выпусках 1.6.3ubuntu0.1, 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian и Ubuntu.

  1. Главная ссылка к новости (https://mirror.fail/...)
  2. OpenNews: Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu
  3. OpenNews: В пакетном менеджере RPM устранена опасная уязвимость
  4. OpenNews: В пакетном менеджере APT выявлена новая уязвимость
  5. OpenNews: Уязвимость в пакетном менеджере APT, позволяющая обойти проверку пакетов
  6. OpenNews: Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
Автор новости: Аноним
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49168-apt
Ключевые слова: apt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноняшка (?), 21:11, 22/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    sudo grep -Hir "mirror" /etc/apt
    это поможет?
    вроде пусто
     
  • 1.3, Аноним (3), 21:44, 22/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > протокол mirror:// в sources.list

    А как этим пользоваться? В первый раз о нём слышу.

     
     
  • 2.4, Аноним (4), 21:49, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вот-вот, я тоже ни разу этим функционалом не пользовался %/
     
     
  • 3.7, Аноним (7), 22:06, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На ваше счастье дефолтную конфигурацию не пробирает, только тех немногих кто почитал описание и настроил.
     
     
  • 4.62, Sunch (?), 09:17, 25/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Читать доки - вредно!
     

  • 1.5, Аноняшка (?), 21:59, 22/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Главный вопрос; а каким скриптиком / батником /экзэшником проверить теперь свои /usr/bin/*, на соответствие цифровым подписям в репозитории? Так, на всякий случай...
     
     
  • 2.6, Аноним (7), 22:05, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Debsums? Не совсем подписи, но все же. Однако проверять что либо на системе которую могли расхакать - занятие кривое. Что-то такое надо делать из доверяемой системы.

    Тем не менее, конфигурация с mirror:// - достаточно экзотичная штука, по умолчанию оно не используется.

     
     
  • 3.12, Аноняшка (?), 22:14, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет смысла: Debsums сверяет с *локальным* хранилищем хэшей,
    DESCRIPTION
           Verify  installed  Debian package files against MD5 checksum lists from
           /var/lib/dpkg/info/*.md5sums.
    А мне бы сравнить с репозиторием...
    Кстати, почему http://, почему не https:// у apt-get?
     
     
  • 4.20, Аноним (4), 00:21, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозиториях APT, использовать SSL/TLS - дикий перегиб.
     
     
  • 5.25, JL2001 (ok), 09:22, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозиториях
    > APT, использовать SSL/TLS - дикий перегиб.

    это пока к вам не придут с распечаткой что вы с того сервера качали nmap и прочие уголовно наказуемые хакерские штучки

     
     
  • 6.33, Аноним (-), 17:01, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тогда вообще apt-transport-tor поставить - атакующие даже не поймут что это дебиан был, а не федора какая-нибудь например. Пусть ломают наобум как нечто неизвестное.
     
     
  • 7.51, ЕкарныйБабай (?), 16:23, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В Fedora тоже можно настроить связку dnf с tor.
     
     
  • 8.58, Аноним (-), 21:14, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У дебиана есть официальный onion с пакетами, если что Установив apt-transport-t... текст свёрнут, показать
     
  • 6.41, Вопрошающий (?), 19:56, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожизненное?
     
     
  • 7.44, JL2001 (ok), 02:26, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожизненное?

    сервера не обязаны находиться в той же стране (даже если эта страна за великим фаерволом)
    а ещё степень вины определяет суд, как известно - самый справедливый суд в мире (пиратбей не даст соврать)

     
  • 4.32, Аноним (-), 16:59, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы и подписи будете на локальном компьютере проверять, относительно локального х... большой текст свёрнут, показать
     
  • 2.8, EuPhobos (ok), 22:07, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • –20 +/
    debootstrap+rsync/md5sum
    А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось.
     
     
  • 3.10, Парам (?), 22:08, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +11 +/
    >А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось.

    Обалденный совет, как раз заслуживает дислайка.

     
  • 3.18, Аноним (18), 23:57, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Совет многолетнего мамкиного распидяя.
     
  • 3.37, Аноним (-), 17:12, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что
    > бы быть в курсе что поменялось.

    Можно и иные варианты придумать, достаточно неожиданные и неудобные для хакеров. Например слать дельту btrfs send'ом на отдельную машину и там изучать себе файлуху. Можно налепить снапшотиков с версиями и сравнивать их между собой чем там кому удобно. При том на ремотной машине, на которой софт крутится заведомо не хакерский.

    А креативно запатчить именно данные в именно файлухе, чтобы лабеан вышел даже с btrfs send и ремотной ФС, зеркалящей местную но не использующую систему оттуда - теоретически так наверное можно а практически хакер загнется такого монстра кодить и почти наверняка срежется на corner cases.

     

  • 1.9, Кат (?), 22:07, 22/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Буква S в слове Linux означает Security.
     
     
  • 2.11, A.Stahl (ok), 22:12, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, она означает Reißschiene.
     
     
  • 3.13, Фуррь (ok), 22:18, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Reißschiene

    Просто мимо проходил - что это за слово? Сколько учу, пока не встречал, по составным словам толком не разбить, а ГугльТранслейт пишет какую-то муть.

     
     
  • 4.14, Лёшка (?), 22:24, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Гуглить не пробовал?

    https://ru.m.wikipedia.org/wiki/Рейсшина

     
     
  • 5.15, Фуррь (ok), 22:29, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Гуглить не пробовал?

    Это не по-спортивному.
    Благодарю :3

     
  • 4.17, тот самый Аноним (?), 23:51, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>Reißschiene
    > Просто мимо проходил - что это за слово? Сколько учу, пока не
    > встречал, по составным словам толком не разбить, а ГугльТранслейт пишет какую-то
    > муть.

    Не, ну по составным разбить можно:
    Reiß - составное: срывать, вырывать, выдергивать, раздирать
    Schiene - рельс, лубок, шина (электр), направляющая (планка)
    но догадаться о том, что это такая чертежная линейку, будет сложно ))

     
  • 2.21, Отражение луны (ok), 04:01, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Из того, что есть на рынке - самое секьюрное. Абсолютная безопасность - миф, вера в который делает ситуацию еще хуже. Не советую.
     
  • 2.22, Скат (?), 05:34, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Если нужна секурность используют флатпаки. В apt разработчики дистрибутива или кто их взломал могут подсунуть малварь и нужны права рута для установки.
     
     
  • 3.23, ЕкарныйБабай (?), 06:22, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну засунь во flatpak postgresql, exim/postfix, docker/kvm. После этого нам об успехе расскажи)

    Ты хоть почитай Алекса (разработчик flatpak) для чего он его разработал, какова его сфера применения.

     
     
  • 4.26, linvinus (?), 09:53, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    может кому ещё интересно будет https://flatpak.org/faq/

    Is Flatpak a container technology?

    It can be, but it doesn’t have to be. Since a desktop application would require quite extensive changes in order to be usable when run inside a container you will likely see Flatpak mostly deployed as a convenient library bundling technology early on, with the sandboxing or containerization being phased in over time for most applications. In general though we try to avoid using the term container when speaking about Flatpak as it tends to cause comparisons with Docker and rkt, comparisons which quickly stop making technical sense due to the very different problem spaces these technologies try to address. And thus we prefer using the term sandboxing.


    Can Flatpak be used on servers too?

    Flatpak is designed to run inside a desktop session and relies on certain session services, such as a D-Bus session bus and, optionally, a systemd --user instance. This makes Flatpak not a good match for a server.

    However, the build features of Flatpak run fine outside a session, so you can build things on a server.

     
     
  • 5.27, ЕкарныйБабай (?), 10:02, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я об этом и говорю, что flatpak не панацея от вирусов, так как есть вероятность поймать заразу при установке софта, которая может сидеть где угодно (ядро, сетевые службы и т.д.).

    Мысль пользователя Скат, а именно заменить apt на flatpak для обеспечения безопасности бесперспективна, так как последний не покрывает все приложения.

     
     
  • 6.35, Аноним (-), 17:07, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Мысль пользователя Скат, а именно заменить apt на flatpak для обеспечения безопасности
    > бесперспективна, так как последний не покрывает все приложения.

    Более того она вредна, поскольку заменяет майнтайнеров с конкретными политиками безопасности на раздолбай-разработчиков приложений которые припрут сотни версий либ которые никто не майнтайнит, но в которых постепенно найдутся дыры. По уровню безопасности - станет как в маздае. Потому что система набита непатчеными либами под завязку и хакерью остается только долбануть это эксплойтом.

     
     
  • 7.46, Отражение луны (ok), 03:55, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В твоей логике есть проблема. Все дело в том, что мейнтеры понятия не имеют, как работает код пакетов, и максимум что они могут сделать - добавить дыр и косяков в собранный пакет или забекпортить уже сделанный разрабами фикс. В лучшем случае мейнтер читает документацию и импортит пакет в более-менее первозданном виде, постоянно обновляя его. Вот только большинство пакетов уже давно заброшены, и уязвимы против того же spectre.
    Удачи в твоих грезах)
     
     
  • 8.49, ЕкарныйБабай (?), 05:16, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Связанных с процессором уязвимости решаются патчами ядра и обновлением микрокода... текст свёрнут, показать
     
     
  • 9.50, Отражение луны (ok), 16:21, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть как минимум ряд уязвимостей, который решается обновлением компилятора, вклю... текст свёрнут, показать
     
     
  • 10.55, Аноним (55), 20:30, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Однако если резко пересобрать всю систему от и до - есть вероятность, что в комп... большой текст свёрнут, показать
     
     
  • 11.59, Отражение луны (ok), 23:14, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мне без разницы на твои детские максималистичные выпады 10ка работает хреново ... текст свёрнут, показать
     
     
  • 12.63, пох (?), 17:00, 25/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вы в зеркало-то пробовали смотреться Или так, отражаетесь Вам - аргументы Вы ... текст свёрнут, показать
     
  • 8.54, Аноним (-), 20:18, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, дружок, я еще и ченджлоги к пакетам читаю И поэтому получше тебя представл... большой текст свёрнут, показать
     
     
  • 9.64, пох (?), 17:05, 25/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    прям ко всем Ну прочитайте их ченджлог к ядру и к glibc, потом возвращайтесь, п... текст свёрнут, показать
     
  • 3.34, Аноним (-), 17:05, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если нужна секурность используют флатпаки.

    Не, не так. Кто хочет засрать линух до состояния винды, с сотнями не поддерживаемых майнтайнерами версий либ с дырами - использует флатпаки. И получает у себя пародию на маздай, когда каждая программа прет либы с собой и за дыры в этих либах потом никто не отвечает. Потому что если у майнтайнеров есть четкая политика насчет патчинга дыр, то политика разработчиков приложений чаще всего сводится к "забить болт на все и вся".

     
     
  • 4.43, дядя Аноним (?), 00:44, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это скорее похоже на Android чем на винду. Винда просит много зависимостей и программы не изолированы. Здесь же программы не имеют доступа к системе и дырявые либы ничего тебе не сделают.
     
     
  • 5.45, Аноним (-), 03:14, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да один фиг по большому счету Где это сказано А то вон там в цитате сказано чт... большой текст свёрнут, показать
     
     
  • 6.47, Отражение луны (ok), 04:02, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не один фиг. Андроид секьюрен настолько, насколько это в принципе возможно.
    Аналогия абсолютно неправильная. Сендбоксинг тем и хорош, что приложение не может сделать больше того, что ты ему разршаешь. Потому что на каждую раскрытую уязвимость найдутся сотни нераскрытых, и довольно глупо и наивно думать, что последние версии библиотек всегда защищены от всех известных угроз. Разрешил доступ к файлам за пределами определенного каталога - будь готов к тому, что твои данные сопрут. Так что стандартные apt и прочие пакетные менеджеры так же дырявы, как твоя псинка.
     
     
  • 7.56, Аноним (56), 20:49, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Однако как работает дебиан нравится мне гораздо больше В дебиане я ощущаю себя ... большой текст свёрнут, показать
     
     
  • 8.60, Отражение луны (ok), 23:20, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В отличие от Вас я куда более спокоен на тему записей моих экранов и прочей слеж... текст свёрнут, показать
     
     
  • 9.61, Аноним (-), 01:17, 25/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да кому-то и кандалы на ногах не очень мешают, но тогда разглагольствованиям про... большой текст свёрнут, показать
     
  • 8.65, Аноним (65), 15:21, 27/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Какое незамутненное самодовольство 8230 ... текст свёрнут, показать
     
  • 3.38, Michael Shigorin (ok), 18:27, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И почему некомпетентные бывают столь уверены... или они потому и некомпетентными не просто становятся, а остаются?
     
     
  • 4.48, Отражение луны (ok), 04:04, 24/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты то у нас светило. Ой, кажись, все-таки нет.
     

  • 1.28, Andrey Mitrofanov (?), 10:12, 23/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Проблема
    > проявляется в ветках 1.6.x и 1.7.x

    Это buster aka testing и experimental-даже-не-sid в Debian-е.

    Спим дальше!

    >и устранена в выпусках 1.6.3ubuntu0.1,
    > 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian

     
     
  • 2.31, Гентушник (ok), 14:11, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > OS releases: Debian testing/unstable, experimental; Ubuntu 18.04, cosmic

    Ну что-ж. Пользователям Убунты можно сказать спасибо. Приняли на себя первый удар.
    А до Debian stable проблема так и не дошла, можно спать спокойно.

     
     
  • 3.42, Аноним (42), 20:26, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нам тут вообще мягко и шелковисто.

    https://linux.pictures/projects/debian-stable-jpg

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру