The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от opennews (ok), 13-Мрт-19, 11:04 
В пакетном менеджере pacman, применяемом в дистрибутиве Arch Linux, выявлена (https://security.archlinux.org/ASA-201903-7) уязвимость (CVE-2019-9686 (https://security.archlinux.org/CVE-2019-9686)), позволяющая добиться выполнения кода с правами root в момент установки пакета, в случае контроля атакующим за за зеркалом репозитория или транзитным трафиком жертвы (например, при подключении пользователя через сетевой шлюз, VPN или беспроводную точку доступа, подконтрольные атакующему). Проблема устранена в обновлении pacman 5.1.3-1 (https://security.archlinux.org/package/pacman).

Уязвимость напоминает недавно выявленную проблему (https://www.opennet.ru/opennews/art.shtml?num=50007) в пакетном менеджере APT и также связана с возможностью подмены определённых полей в HTTP-ответах. В Arch Linux, как и большинстве других дистрибутивов, обращение к репозиториям может осуществляться (https://www.archlinux.org/mirrorlist/all/http/) по HTTP без шифрования трафика, но с применением верификация целостности и источника пакета по цифровой подписи. При установке пакета при помощи команды "pacman -U" с указанием URL, атакующий может подменить (https://git.archlinux.org/pacman.git/commit/?id=d197d8ab82cf...) имя файла, передаваемое через HTTP-заголовок "Content-Disposition".


Пакетный менеджер pacman использует передаваемое в заголовке "Content-Disposition" значение для переименования полученного файла
без должной проверки его корректности и без вырезания символов "../" из файлового пути. Переименование выполняется на стадии до проверки данных по цифровой подписи. Атакующий может поменять имя файла на строку вида "../../usr/share/libalpm/hooks/evil.hook" и добиться размещения своего файла в любой части файловой системы. Подобная манипуляция приведёт к выводу ошибки из-за невозможности найти файл в каталоге с кэшем пакетов, но скопированный файл останется в системе.

URL: https://security.archlinux.org/ASA-201903-7
Новость: https://www.opennet.ru/opennews/art.shtml?num=50311

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  –2 +/
Сообщение от Fracta1L (ok), 13-Мрт-19, 11:04 
Если у меня https-зеркало - можно спать спокойно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от Аноним (3), 13-Мрт-19, 11:05 
>в случае контроля атакующим за за зеркалом репозитория
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +19 +/
Сообщение от Аноним (3), 13-Мрт-19, 11:05 
Затмевает apt даже по удобству использования уязвимостей. Вот что значит хороший пакетный менеджер.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +3 +/
Сообщение от Аноним (9), 13-Мрт-19, 12:50 
Пока не затмевает. Pacman даже не проверяет динамическую линковку, в результате чего иногда может прилететь апдейт пакета с зависимостью от более новой версии библиотеки, а сама библиотека -- нет. Или наоборот. У меня так один раз сам pacman обновился, а libidn -- нет, потому что зеркало криво засинкалось. В результате пришлось ручками старый пакет с pacman'ом распаковывать и менять бинарник.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от Anonimus (??), 13-Мрт-19, 18:31 
Это не проблема pacman - проблема в майнтейнере который собирал пакет и не корректно указал зависимости. зависимости он проверяет корректно и их можно указать гибко.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

33. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +1 +/
Сообщение от Аноним (33), 13-Мрт-19, 19:00 
Выполнять обезянью работу по определению ABI, на который завязан пакет, должен не человек (тем более, что тут легко ошибиться: обновил зависимость, у которой сменился ABI, а в PKGBUILD отразить этом забыл — и привет).
Посмотри как это сделано в RPM, там хелперы rpmbuild-а сами проходят по всем бинарям и выдирают оттуда информацию об ABI. Потому что человек долбанется руками прописывать и, само главное, актуализировать портянку такого вида https://pastebin.com/9e4TTZud (это ABI-зависимости thunderbird-а).
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +1 +/
Сообщение от Аноним (33), 13-Мрт-19, 19:03 
Особенно рекомендую обратить внимание на отслеживание версий символов в тех либах, где такое версионирование есть (nss, glibc). Руками такое делать нереально.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

45. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от граммарнаци (?), 14-Мрт-19, 06:43 
В таком случае это проблема не менеджера пакетов, а тулкита для сборки пакетов
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  –1 +/
Сообщение от Anonimus (??), 13-Мрт-19, 19:23 
Смотри, есть дистрибутив для которого делаются пакеты, есть майнтейнер который собирает и тестирует эти пакеты, есть тестирование снепшотов дистрибутивов, когда тестируется набор пакетов в дистрибутиве перед релизом (несколько стадий) и только потом релиз. Сами зависимости в большинстве случаев редко меняются и если поменялись, то тестирование - это быстро показывает.
Но с другой стороны чем проще инструмент - тем сложнее прострелить ногу. Что делать если инструмент некорректно выпарсил - этот список? Искать проблему в стороннем инструменте сложнее чем после себя.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

4. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от grayich (ok), 13-Мрт-19, 11:14 
> позволяющая добиться выполнения кода с правами root в момент установки пакета, в случае контроля атакующим за за зеркалом репозитория или транзитным трафиком жертвы (например, при подключении пользователя через сетевой шлюз, VPN или беспроводную точку доступа, подконтрольные атакующему).

после прочтения осталось ощущение, что ещё нужно полнолуние, без него не сработает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +5 +/
Сообщение от Аноним (5), 13-Мрт-19, 11:31 
Ваш скепсис не в тему. Эта атака действительно проста и банальна, в случае, если вы имеет доступ к магистральной инфраструктуре. Тут ведь не всё разом должно срабоать, а что-нибудь одно.

> момент установки пакета

Что тут сложного? Мониторинг трафика пользователя 24/7.

> в случае контроля атакующим за за зеркалом репозитория __или__!!!
> контроля атакующим за транзитным трафиком жертвы
> например, при подключении пользователя через сетевой шлюз __или__!!!
> VPN
> !!!__или__!!! беспроводную точку доступа, подконтрольные атакующему

Целых три(четыре) вектора атаки. Большая часть владельцев впнов-контор склеит лапки, когда к ним обратятся спецслужбы. Сетевой шлюз? Любой пров может помочь сделать всё как надо (на пост-совке, в ЕС, в США, в Китае все провы зависимы от государства). Беспроводная точка доступа? Если проприетарная прошивка - производители фирмвейр дадут бэкдор. Короче если будет необходимость то юзера Арк Линукса легко возьмут за пятую точку.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от grayich (ok), 13-Мрт-19, 11:51 
имхо - для обычных юзверей нет смысла, а тому кому есть смысл.. тот ССЗБ если не имеет специальных процедур, проверок и т.п. по безопасности, да и арч в этом случае вряд ли будет.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  –4 +/
Сообщение от Аноним (12), 13-Мрт-19, 13:24 
справедливости ради данная атака не существует сама по себе, чтобы она сработала необходимо чтобы сеть или один из узлов доставки обновления был бы уже скомпрометирован
проще говоря мамкины хакеры будут изначально в пролете
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +7 +/
Сообщение от анонн (?), 13-Мрт-19, 13:56 
> pacman
> арч
> проще говоря мамкины хакеры будут изначально в пролете

да и «ворон ворону глаз не выклюеет»


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

37. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  –2 +/
Сообщение от Аноним (12), 13-Мрт-19, 19:27 
часть нити восстановлена Aнонимом

// админ имей совесть, я тут обиженного лечу
...

> Нет, это ты только что сам себе придумал.

как скажешь, пациент всегда прав

> То есть, как и предполагалось, "за арчик обидно, а возразить-то и нечего". Понятно.

опять ты за свое ? кому и в чем мне нужно возразить ? да и главное зачем ? ты же все го лишь подорвался на словах о "мамкиных хакерах", хотя оно и не относилось конкретно к тебе, но ты решил нам тут доказать что "мамкины хакеры" это арчеводы и начал их тут гнобить, попутно записав меня в их ряды

> Бегать по смежным форумам и рассказывать всем подряд о крутизне арча с его ого-го каким большим АУРом ("у нас в арче самый большой набор софта, завидуйте все! во!" (с) by archeod vulgaris) - прерогатива арчеводов...

ого, как оно у тебя все запущенно, то есть весь твой булшит можно сказать детская травма полученная на одном из форумов посвященных арчу, сочувствую

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

39. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +3 +/
Сообщение от анонн (?), 13-Мрт-19, 19:42 
> опять ты за свое ? кому и в чем мне нужно возразить

Не знаю. Придумай сам, сам же оспорь придуманное. У тебя это очень неплохо получается ))
> ? да и главное зачем ? ты же все го лишь
> подорвался на словах о "мамкиных хакерах", хотя оно и не относилось
> конкретно к тебе, но ты решил нам тут доказать что "мамкины
> хакеры" это арчеводы и начал их тут гнобить, попутно записав меня в их ряды

Да не, я лишь чутка поднабросил, приравняв мамкиных какиров и арчеводов.
А подгорело, да еще нехило, почему-то у тебя. Интересно почему?
> попутно записав меня в их ряды

Самое интересное, что записался ты туда сам, ринувшись на защиту арчика.

>> Бегать по смежным форумам и рассказывать всем подряд о крутизне арча с его ого-го каким большим АУРом ("у нас в арче самый большой набор софта, завидуйте все! во!" (с) by archeod vulgaris) - прерогатива арчеводов...
> ого, как оно у тебя все запущенно, то есть весь твой булшит можно сказать детская травма полученная на одном из форумов посвященных арчу, сочувствую

Т.е. как обычно - когда по теме сказать нечего, арчевод скатывается в ad-hominem. Почти сочувствую.


Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  –2 +/
Сообщение от Аноним (12), 13-Мрт-19, 20:14 
> Не знаю. Придумай сам, сам же оспорь придуманное. У тебя это очень неплохо получается ))

о, пошли отмазки, пока не очень, но старайся

> Да не, я лишь чутка поднабросил, приравняв мамкиных какиров и арчеводов.

молодец, и ? ты хотел кого-то этим унизить ?

> А подгорело, да еще нехило, почему-то у тебя. Интересно почему?

странно, я ж вроде никого и нигде не защищал, а только обратил внимания на твою скрытую арчефилию

> Самое интересное, что записался ты туда сам, ринувшись на защиту арчика.

линукс упаси, я лишь указал на то что уязвимость сама по себе не имеет значения если не скомпрометирован узел и ли сеть доставки что для "мамкиных хакеров"(тока не напрягайся опять) вряд ли будет по зубам, а ты тут решил подбросить, набросить, накатить и поведать нам между строк что у тебя травма из за того что арчеводы хвастаются своим большим АУРом

> Т.е. как обычно - когда по теме сказать нечего, арчевод скатывается в ad-hominem. Почти сочувствую.

кто бы говорил ) ты Ленина с бревном случайно не видел ?

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

10. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  –1 +/
Сообщение от Аноним (10), 13-Мрт-19, 12:59 
Вот под арм нет арча вроде как, весьма чувствительный минус
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +4 +/
Сообщение от Аноним (12), 13-Мрт-19, 13:12 
archlinuxarm.org
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от Аноним (10), 13-Мрт-19, 14:12 
О, таки есть порт, тогда топово, спасибо
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  –2 +/
Сообщение от Аноним (22), 13-Мрт-19, 17:20 
Ждём аналоги в pkg, да в emerge. Поискать чтоль.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от анонн (?), 13-Мрт-19, 19:35 
> Ждём аналоги в pkg, да в emerge. Поискать чтоль.

дарю:


pkg add [-IAfMq] <protocol>://<path>/<pkg-name> ...
Currently supported protocols are FTP, HTTP and HTTPS.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

41. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  –1 +/
Сообщение от Аноним (41), 13-Мрт-19, 20:11 
>Пакетный менеджер pacman использует передаваемое в заголовке "Content-Disposition" значение для переименования полученного файла без должной проверки его корректности и без вырезания символов "../" из файлового пути.

Это должно быть заботой HTTP-клиента

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от X4asd (ok), 13-Мрт-19, 22:06 
в нём и ошибка
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

46. "Уязвимость в пакетном менеджере pacman, позволяющая выполнит..."  +/
Сообщение от AnonPlus (?), 26-Мрт-19, 20:53 
А вот я помню, что прямо тут на опеннете кто-то кричал, что люди, переводящие репозитории на HTTPS, делают вредное и ненужное дело, там же пакеты проверяются по цифровой подписи, а HTTPS создаёт накладные расходы.

Где же теперь эти крикуны?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру