Kritische Sicherheitslücke in Debians Update-Tools

  • Debian

  • mad.de
  • 1255 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Kritische Sicherheitslücke in Debians Update-Tools

    Debian-basierte Linux-Systeme weisen eine Sicherheitslücke auf, über die Angreifer das System während des Einspielens von Sicherheits-Updates kapern könnten.

    Es ist der Worst Case für ein Update-Konzept und er trifft Debian, Ubuntu & Co mit voller Wucht: Ein Lauscher an der Leitung könnte Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird. Ein aktuelles Sicherheits-Update schließt die Lücke und sollte bald möglichst eingespielt werden.
    Böser Redirect

    Der Angriff ist möglich, weil die Tools apt und apt-get die Updates ungesichert über herkömmliches HTTP aus dem Netz laden. So kann ein Angreifer im Netz in die Kommunikation manipulieren und dabei über einen speziellen HTTP-Redirect nicht nur seinen Schadcode einschleusen, sondern auch die anschließende Prüfung digitaler Signaturen austricksen, die solche Manipulationen verhindern sollte. Der Entdecker des Bugs Max Justicz erklärt die Details des Angriffs in seinem Blog-Beitrag Remote Code Execution in apt/apt-get. Bei einem TLS-gesicherten Download via HTTPS wäre dies so nicht möglich.

    Das Debian-Security-Team hat den Fehler nach der Benachrichtigung umgehend behoben (CVE-2019-3462). Auch auf einem Ubuntu-System in der heise-Security-Redaktion waren die Updates beim Schreiben der Meldung bereits verfügbar. Anwender und Admins sollten die aktualisierten Pakete für apt* möglichst schnell einspielen.

    TLS oder nicht?
    Die Veröffentlichung dieser Lücke platzt mitten in einen heftigen Streit über die Notwendigkeit von TLS/HTTPS für Sicherheits-Updates. Er entzündete sich an einem (erneuten) Bug-Report bei VLC, der die HTTP-Downloads monierte. Die Entwickler schlossen den Bug-Report als unbegründet. Als Argument wird dabei angeführt, dass die Pakete alle digital signiert seien und diese Signaturen vor der Installation auch geprüft würden. Der Hauptgrund für den Verzicht auf TLS ist die Tatsache, dass es das Caching der Downloads verhindert. Ähnliche Diskussionen gibt es auch immer wieder üner die Debian-Update-Funktionen, die ähnlich funktionieren.

    Quelle: Kritische Sicherheitslücke in Debians Update-Tools |
    heise Security