The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет

22.01.2019 22:19

В пакетном менеджере APT выявлена уязвимость (CVE-2019-3462), позволяющая злоумышленнику инициировать подмену устанавливаемого пакета, если атакующий получил контроль за зеркалом репозитория или способен вклиниться в транзитный трафик между пользователем и репозиторием (MITM-атака). Проблему выявил исследователь безопасности Max Justicz, известный обнаружением уязвимостей в пакетном менеджере APK (Alpine) и репозиториях Packagist, NPM и RubyGems.

Проблема вызвана некорректной проверкой полей в коде обработки HTTP-редиректов, что позволяет атакующему подставить собственное содержимое в данные, передаваемые в рамках HTTP-сеанса (по умолчанию Debian и Ubuntu используют при обращении к репозиторию HTTP, а не HTTPS, полагая, что достаточно цифровой подписи метаданных и проверки соответствия размера пакета).

Выявленная уязвимость позволяет подменить передаваемый пакет, после чего APT воспримет его как полученный с официального зеркала и инициирует процесс установки. Через включение во вредоносный пакет скриптов, запускаемых во время установки, атакующий может добиться выполнения своего кода в системе с правами root.

Для загрузки данных из репозитория APT запускает дочерний процесс с реализацией конкретного транспорта и организует взаимодействие с этим процессом при помощи простого текстового протокола с разделением команд пустой строкой. Суть проблемы в том, что обработчик транспорта HTTP при получении от HTTP-сервера ответа с заголовком "Location:" запрашивает у родительского процесса подтверждение редиректа, целиком передавая содержимое этого заголовка. Из-за отсутствия чистки передаваемых спецсимволов, атакующий может указать в поле "Location:" значение, содержащее перевод строки (например, "Location: /payload%0A%0A201%20URI%20Done...").

Так как данное значение будет декодировано и передано через канал связи с родительским процессом, атакующий имеет возможность симулировать иной ответ от обработчика транспорта HTTP и после блока "103 Redirect" подставить фиктивный блок "201 URI Done" с сопутствующими фиктивными метаданными. Например, если при запросе пакета "cowsay_3.03+dfsg2-3_all.deb" атакующий подставит ответ с "Location: /payload%0A%0A201 %20URI%20Done%0AURI%3A%20 http%3A//deb.debian.org ... Checksum-FileSize-Hash%3A%2020070%0A", такая подстановка приведёт к передаче родительскому процессу следующего блока данных:


   103 Redirect
   URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+dfsg2-3_all.deb
   New-URI: http://deb.debian.org/payload

   201 URI Done
   URI: http://deb.debian.org/payload
   Filename: /var/lib/apt/lists/deb.debian.org_debian_dists_stretch_Release.gpg
   Size: 20070
   Last-Modified: Tue, 07 Mar 2017 00:29:01 +0000
   MD5-Hash: 27967ddb76b2c394a0714480b7072ab3
   MD5Sum-Hash: 27967ddb76b2c394a0714480b7072ab3
   SHA256-Hash:  858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831
   Checksum-FileSize-Hash: 20070

в котором все данные после строки "New-URI: http://deb.debian.org/payload" были закодированы в переданным злоумышленником ответе "Location:...".

Вычислением хэшей для загруженных файлов занимается обработчик транспорта, а родительский процесс просто сверяет эти данные с хэшами из базы подписанных пакетов. В числе метаданных атакующий может указать любые значения проверочных хэшей, привязанные в БД к реальным подписанным пакетам, но фактически не соответствующие хэшам переданного файла.

Родительский процесс воспримет подставленный атакующим код ответа, найдёт хэш в базе и посчитает, что загружен пакет для которого имеется корректная цифровая подпись, хотя на деле значение поля с хэшем подставлено в канал связи с родительским процессом атакующим, а указанный в подставленных метаданных файл имеет совсем другой хэш.

Загрузка вредоносного пакета производится через прикрепление пакета к файлу Release.gpg, во время его передачи. Данный файл имеет предсказуемое местоположение в ФС и прикрепление пакета к его началу не влияет на извлечение из данного файла цифровой подписи репозитория. Атакующий модифицирует передаваемый Release.gpg примерно таким образом:


   подставленное содержимое deb-пакета
   -----BEGIN PGP SIGNATURE-----
   ...
   -----END PGP SIGNATURE-----

Уязвимость устранена в выпуске APT 1.4.9, а также в обновлениях пакетов в Ubuntu и стабильных ветках Debian (Jessie и Stretch), но в экспериментальных ветках Debian пока остаётся неисправленной. Если имеется опасность проведения целевых MITM-атак, в качестве обходного пути защиты можно при выполнении операций с apt/apt-get явно отключать поддержку редиректов (например, "apt -o Acquire::http::AllowRedirect=false update"). Подобное отключение может привести к нарушению работы автоматического проброса на ближайшее зеркало, поэтому в sources.list следует заменить security.debian.org на конкретное зеркало (например, cdn-fastly.deb.debian.org).

  1. Главная ссылка к новости (https://justi.cz/security/2019...)
  2. OpenNews: Уязвимость в пакетном менеджере APT, проявляющаяся в конфигурациях с зеркалами
  3. OpenNews: Выпуск пакетного менеджера Apt 1.3
  4. OpenNews: В пакетном менеджере APT выявлена новая уязвимость
  5. OpenNews: Уязвимость в пакетном менеджере APT, позволяющая обойти проверку пакетов
  6. OpenNews: Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: apt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Gagauz (?), 23:23, 22/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –8 +/
    Так так... Ну что страдайте апт гетчики?
     
     
  • 2.9, Michael Shigorin (ok), 23:57, 22/01/2019 [^] [ответить]    [к модератору]
  • –13 +/
    Ну поломайте же наконец меня. :]
     
     
  • 3.15, Qwerty (??), 00:13, 23/01/2019 [^] [ответить]    [к модератору]
  • +24 +/
    Нет, Джо.
     
  • 3.117, fi (ok), 17:30, 23/01/2019 [^] [ответить]    [к модератору]
  • +/
    А разве у ваших rpm-ок   нет своей подписи ??? Не верю!  rpm еще не пробили.
     
  • 3.126, Аноним (126), 14:49, 26/01/2019 [^] [ответить]    [к модератору]
  • +/
    Если Вас поломают, Вы об этом можете никогда даже не узнать, будучи гением системного администрирования. Но тут многое зависит от того, кто и с какими целями это сделает.
     
  • 1.3, rm_ (ok), 23:34, 22/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > следует заменить security.debian.org на конкретное зеркало (например, cdn-fastly.deb.debian.org).

    Вроде бы security не обязательно заменять, он не использует CDN и редиректы. А вот если у вас был прописан http.debian.net, тот да.

     
  • 1.5, Аноняшка (?), 23:45, 22/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Казалось бы, при чем здесь gentoo...
     
     
  • 2.25, irinat (ok), 01:50, 23/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Если злоумышленник может сделать MITM, что мешает ему подменить тарбол с исходниками, который ты будешь выкачивать во время выполнения emerge?
     
     
  • 3.40, nE0sIghT (ok), 06:49, 23/01/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    > что мешает ему подменить тарбол с исходниками, который ты будешь выкачивать во время выполнения emerge

    Хеш тарбола в метаданных portage, очевидно.

     
     
  • 4.42, пох (?), 06:58, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    а portage ты через /dev/astral скопировал, а не открытым протоколом с левого зеркала смиррорил?

    Или они все же поумнели за десять лет?

     
     
  • 5.43, nE0sIghT (ok), 07:00, 23/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Ты не поверишь. Добро пожаловать в 2019 год, в котором portage синхронизируется с помощью Git.
     
     
  • 6.94, нах (?), 11:23, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    с зеркала? А чем это мне поможет?

     
     
  • 7.116, captcha 20168 (?), 16:33, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    цифровой подписью коммита и хешем этого самого коммита
     
  • 7.119, nE0sIghT (ok), 18:15, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Это же Git с подписью каждого коммита.
    Можно установить автора последнего коммита и, если он - разработчик Gentoo, не беспокоиться.
     
  • 5.59, Гентушник (ok), 09:43, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    При обновлении portage он точно так же был проверен по хешу как и другие пакеты.
    А первая установка portage была осуществлена с диска (болванки) высланной мне по почте (не электронной).
     
     
  • 6.65, scor (ok), 10:07, 23/01/2019 [^] [ответить]    [к модератору]  
  • +9 +/
    Вот на почте болванку и подменили! Нет у вас методов против Коли^W Почты России!:)
     
     
  • 7.71, Гентушник (ok), 10:24, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Всё возможно Но в цепочке доверия нужно с чего-то начать У кого-то это сайт ht... весь текст скрыт [показать]
     
     
  • 8.83, нах (?), 11:02, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    у правильной цепочки должно быть не одно возможное начало скачанные с того же с... весь текст скрыт [показать]
     
     
  • 9.99, rshadow (ok), 12:06, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Самое главное доверие, на котором все держится - это доверие тому что ты нах никому не нужен. (как то двухсмысленно получилось)
     
     
  • 10.112, нах (?), 15:55, 23/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    лично ты может и не нужен хотя твои процессорные мощности могут пригодиться пом... весь текст скрыт [показать]
     
  • 9.101, Аноним (101), 12:37, 23/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    > у правильной цепочки должно быть не одно возможное начало.

    Это начало какой то замудерённой сети, а не цепочки (ИМХО ;)

     
  • 9.107, Гентушник (ok), 13:44, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Нет Скачанные с какого-нибудь васянского зеркала, по http, через открытый WiFi ... весь текст скрыт [показать]
     
     
  • 10.113, нах (?), 16:05, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    по простому никак, но ключи меняются редко и обычно с анонсами, их айдишки должн... весь текст скрыт [показать]
     
  • 8.96, Andrey Mitrofanov (?), 11:25, 23/01/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    Обожаю форумную криптографию Она такая форумная Такая незамутнённая si... весь текст скрыт [показать]
     
     
  • 9.103, freehck (ok), 13:07, 23/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > .sig-и-то, .sig-и  ихде?!

    Судя по всему вот они:
    https://gentoo.osuosl.org//releases/amd64/20160704/

     
     
  • 10.110, Andrey Mitrofanov (?), 14:15, 23/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну, вот да-да я знал Вы там средь своих, гентушников, поучите, поуч... весь текст скрыт [показать]
     
  • 9.106, Гентушник (ok), 13:34, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Там есть файлы с подписями, но они полезны лишь в случае если у человека есть до... весь текст скрыт [показать]
     
  • 5.122, Я (??), 23:26, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    https://gentoo.org/support/news-items/2018-01-30-portage-rsync-verification.ht

    > Starting with sys-apps/portage-2.3.21, Portage will verify the Gentoo repository after rsync by default.

     
  • 3.41, пох (?), 06:57, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    а они что, по сей день не научились подписывать свои ебилды Да ну, не может быт... весь текст скрыт [показать]
     
     
  • 4.55, nE0sIghT (ok), 08:58, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну зачем ты слёзы то лил Ну был же тогда уже emerge-websync с проверкой подписи... весь текст скрыт [показать]
     
     
  • 5.90, нах (?), 11:08, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    ну как бы костылик наверное уже был его еще, правда, взять откуда-то надо было,... весь текст скрыт [показать]
     
     
  • 6.108, Онанимус (?), 13:46, 23/01/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    Контрольная сумма для проверки на побитость, а не для верификации.
     
     
  • 7.114, нах (?), 16:06, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    ну да, gzip же ж ее не проверяет, ага.

    Причем, заметьте - неотключаемая.

     
  • 6.120, nE0sIghT (ok), 18:32, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Сидел он, сидел Вот даже в хэндбуке о нём написано было в далёком 2006 году ht... весь текст скрыт [показать]
     
  • 4.109, irinat (ok), 14:14, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    А тебе повезло, что в 2008 ты не сталкивался с кеширующими проксями, от которых ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (28)

  • 1.7, Simion (?), 23:47, 22/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    # pacman -Syyuu It's the best
     
     
  • 2.10, Michael Shigorin (ok), 23:59, 22/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Арчеводы вообще-то дружно забили на в чём-то перекликающийся баг, которым им коллега нашёл и зафайлил: https://bugs.archlinux.org/task/45657
     
     
  • 3.19, Аноним (19), 00:39, 23/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    К ним хоть зашли. А в альт кто-нибудь заходит? Или только выходит?
     
     
  • 4.21, Michael Shigorin (ok), 01:22, 23/01/2019 [^] [ответить]     [к модератору]  
  • –3 +/
    И хоть в белой шляпе, а не в серой Боюсь, Вам уже или к ослику Иа, или к профил... весь текст скрыт [показать]
     
  • 1.12, Аноним (12), 00:04, 23/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Получается обновление apt нужно качать через уязвимый apt...
     
     
  • 2.14, IdeaFix (ok), 00:07, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Зачем? Его можно собрать... :)
     
     
  • 3.17, анонимус (??), 00:33, 23/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Понадобятся шило, ножницы и пластиковая бутылка?
     
     
  • 4.33, Hz (??), 04:20, 23/01/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    И фольга.
     
     
  • 5.44, пох (?), 07:02, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    и зажигалка, а ножницы оставьте неумехам - и без них норм.
     
  • 4.63, Аноним (63), 09:52, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    За что вы так называете gcc?
     
     
  • 5.118, Аноним (118), 18:01, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > За что вы так называете gcc?

    Потому что меня от него прёт

     
  • 2.26, irinat (ok), 01:57, 23/01/2019 [^] [ответить]     [к модератору]  
  • +3 +/
    Либо настройками запретить переадресацию, либо воспользоваться security through ... весь текст скрыт [показать]
     
  • 2.37, Shevchuk (ok), 06:32, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Можно при этом обновлении отключить перенаправления (источник уязвимости):

    $ sudo apt update -o Acquire::http::AllowRedirect=false
    $ sudo apt upgrade -o Acquire::http::AllowRedirect=false

     
  • 2.56, MrClon (ok), 09:02, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    В новости ведь даже приведён волшебный ключик отключающий уязвимое поведение Де... весь текст скрыт [показать]
     
  • 2.76, Andrey Mitrofanov (?), 10:33, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Кстати, I да I Я тоже там наверху никогда не читаю http www openne... весь текст скрыт [показать]
     
  • 1.27, Аноним (-), 02:00, 23/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • –5 +/
    Опять синдром NIH и кастомные парсеры - в результате грабли А ведь можно было и... весь текст скрыт [показать]
     
     
  • 2.28, Michael Shigorin (ok), 02:05, 23/01/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    > А ведь можно было использовать какой-нибудь JSON и не обосраться.

    И где Вы весь такой умный были в девяносто-когда-там-апт-делали...

     
     
  • 3.29, Аноним (-), 02:13, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > в девяносто-когда-там-апт-делали...

    Это понятно. Однако любителям изобретать свои "простые текстовые протоколы" стоит мотать на ус.

     
     
  • 4.34, Crazy Alex (ok), 04:45, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Это да. И заодно - борцам с готовыми библиотеками.
     
  • 4.67, Ю.Т. (?), 10:11, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    В "90-каком-то" году не было json, и только взлетал xml.
     
  • 3.84, freehck (ok), 11:03, 23/01/2019 [^] [ответить]     [к модератору]  
  • +5 +/
    Подрастает уже которое поколение, для которого написать парсер или язык -- невып... весь текст скрыт [показать]
     
     
  • 4.95, CAE (ok), 11:24, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    lex - это мелко. Вот flex с состояниями без bison - вот это да.
     
     
  • 5.102, freehck (ok), 13:02, 23/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > lex - это мелко. Вот flex с состояниями без bison - вот это да.

    lex -- это название собирательное. Их ведь много, и для каждого языка своя.

     
  • 2.30, Аноним (30), 02:15, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Apt писали, когда ни ты ещё не родился, ни JSON ещё не придумали Поэтому, не сп... весь текст скрыт [показать]
     
     
  • 3.31, Аноним (-), 02:22, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > взяли стандартный HTTP

    Попробуй потушиться и перечитать, на что отвечаешь. TLDR: к HTTP претензий нет.

     
  • 2.32, YetAnotherOnanym (ok), 02:35, 23/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Вы так свято верите в непогрешимость сторонних парсеров?
     
     
  • 3.35, Crazy Alex (ok), 04:51, 23/01/2019 [^] [ответить]     [к модератору]  
  • –3 +/
    Они больше на глазах и, как правило, более архитектурно написаны, как и то, чт... весь текст скрыт [показать]
     
     
  • 4.46, пох (?), 07:10, 23/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    тысячигласс, да Как правило они overengineered, bloated и вообще не поддаются а... весь текст скрыт [показать]
     
  • 4.61, Andrey Mitrofanov (?), 09:44, 23/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Что,, прям все Как http langsec org проверял Как http langsec org прове... весь текст скрыт [показать]
     
  • 2.45, пох (?), 07:06, 23/01/2019 [^] [ответить]    [к модератору]  
  • +6 +/
    стесняюсь спросить - а в json парсерах не правят раз в месяц очередное "ой мы об третью кавычку споткнулись и внезапно вообще выполнили это как код"?

    Я правда не знаю - когда эта модная уродливая технология массово распространилась, мне уже было наплевать на этот опенсорсий, пусть хоть на голове стоят.

    А в былые годы любое употребление чего либо из набора libxml*/xslt (ваша предыдущая волшебная таблетка, если вы родиться опоздали) для меня означало что эту программу можно запускать только от nobody, желательно в chroot, желательно на чужой машине.

     
  • 2.54, sigprof (ok), 08:42, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Вот только баг в данном случае не в парсере, а в генераторе Если бы JSON формир... весь текст скрыт [показать]
     
     
  • 3.62, Andrey Mitrofanov (?), 09:45, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Хотя разлёт обобряю I ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (16)

  • 1.36, Аноним (36), 06:02, 23/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    Зачем тогда было выносить обработчик транспорта в отдельный процесс Зачем общ... весь текст скрыт [показать]
     
     
  • 2.47, пох (?), 07:14, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    unixway, не, не слышали давайте запилим уже systemd-aptd, ага С бинарным прото... весь текст скрыт [показать]
     
     
  • 3.53, Аноним (36), 08:28, 23/01/2019 [^] [ответить]     [к модератору]  
  • –4 +/
    Одно дело 8212 развивать независимые проекты, предоставляющие другим приложен... весь текст скрыт [показать]
     
     
  • 4.93, нах (?), 11:19, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    в каком месте fileutils, к примеру - независимые проекты А если вы опоздали ... весь текст скрыт [показать]
     
  • 4.105, Michael Shigorin (ok), 13:29, 23/01/2019 [^] [ответить]     [к модератору]  
  • –3 +/
    О, а покажите-ка список того, что Вы _уже_ наархитектурили и взлетело А то в... весь текст скрыт [показать]
     
  • 1.39, Аноним (39), 06:44, 23/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как можно проверить в куче установленных апт ориентированных дистрибутивов, что все пакеты нормальные ? Может уже давно половину подменили ?
     
     
  • 2.87, Гентушник (ok), 11:06, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Развернуть рядом точно такую же систему с такими же пакетами и версиями список ... весь текст скрыт [показать]
     
     
  • 3.97, Andrey Mitrofanov (?), 11:31, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    И обязательно ч-з нескомпрометированный этими пра-а-ативными MITM-ами Интернет ... весь текст скрыт [показать]
     
  • 1.48, odd.mean (ok), 07:19, 23/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Для Debian есть прямой workaround, настолько прямой, что меня (Debian GNU/Linux везде кроме смартфона) это не коснулось вообще:
    # apt-get install apt-transport-tor
    Далее по инструкции: https://guardianproject.info/2016/07/31/howto-get-all-your-debian-packages-via
     
     
  • 2.50, ryoken (ok), 07:47, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    А если подключены ещё пара реп, которые в тор никто не додумался закинуть?
    Вот странно, почему по умолчанию apt-transport-https & apt-transpoкt-tor не ставится в дебе...
     
  • 2.75, Andrey Mitrofanov (?), 10:31, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    , что он написан в новости наверху, он написан в DSA-, он ПРЯМООООЙ ... весь текст скрыт [показать]
     
     
  • 3.91, Andrey Mitrofanov (?), 11:11, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Гм Обновил в своём Devuan ASCII 2 0 Так как все пара-другая, потом бросил п... весь текст скрыт [показать]
     
  • 2.100, rshadow (ok), 12:31, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Если там какой нить баг окажется, то и следов кто тебе напихал не найти.
     
     
  • 3.115, нах (?), 16:08, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    ну как будто ты найдешь следы кто поломал какой-нибудь левый репо давно забытый админами яндекса или еще какой хни?
     
  • 1.57, Аноним (57), 09:24, 23/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    >apt-get install apt-transport-tor

    И АНБ вот уже сколько лет ломает всех, кто это юзает. Скажите спасибо Дебиану за бекдор и Убунту, у которой все репы по http.

     
  • 1.70, Аноним (70), 10:19, 23/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Соединяюсь с репами по HTTPS и мои волосы мягкие и шелковистые.
     
     
  • 2.85, Аноним (-), 11:03, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Какой попсовый анон нонче пошел Ссаными тапками по лицу автору новости Соединя... весь текст скрыт [показать]
     
  • 1.72, Аноним (72), 10:26, 23/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Кто-то тут позавчера бил себя пяткой в грудь и кричал что в стабильном релизе нету уязвимостей, потому что он стабильный. Где вы все? Я хочу послушать ваши оправдания.
     
     
  • 2.77, Andrey Mitrofanov (?), 10:36, 23/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Потому что их _исправляют_ Иди туда-вчера и прочитай, что там-тогда написано ... весь текст скрыт [показать]
     
     
  • 3.78, Аноним (72), 10:42, 23/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исп... весь текст скрыт [показать]
     
     
  • 4.79, Аноним (72), 10:51, 23/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    А ещё майнтейнер systemd временно отстранился от майнтенинга этого пакета, так что ожидаем очередной цирк с конями.
     
     
  • 5.86, Цирк без коней (?), 11:04, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Надо уточнять что именно в дебиан.
     
     
  • 6.92, Аноним (92), 11:18, 23/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Надо еще уточнять что один из нескольких мантейнеров.
     
  • 4.81, Аноним (92), 10:58, 23/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    >Я сижу на дебьяне довольно продолжительное время

    Да-да. Мы так и поверили.

     
  • 4.82, Andrey Mitrofanov (?), 10:59, 23/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Пройдите на https www debian org security https lists debian org deb... весь текст скрыт [показать]
     
  • 4.88, Цирк без коней (?), 11:07, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    >Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исправляли.

    Любите опасность?)

     
  • 4.89, Цирк без коней (?), 11:07, 23/01/2019 [^] [ответить]    [к модератору]  
  • +/
    "Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исправляли. "

    Любите опасность?)

     
  • 2.80, Аноним (92), 10:58, 23/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Кто тебе куда бил? Иди регрессию после очередного обновления systemd исправляй, рачешкольник.
     
     
  • 3.98, дебилиан (?), 11:50, 23/01/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    а зачем ее исправлять У полутора пользователей, вздумавших, вот поганцы, лучше ... весь текст скрыт [показать]
     
  • 1.111, Аноним (111), 15:50, 23/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Очередная дырка в Дебиане, всегда проигрываю.
     
  • 1.121, jalavan (ok), 21:42, 23/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Спасибо исследователю безопасности Max'y
     
  • 1.123, su (??), 11:20, 24/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    глаза откройте, у кого они еще есть. Уязвимость устранена в v.1.4.9. Для Debian 9.6. Stable уже не особо актуально
     
  • 1.124, Анонымоус (?), 21:24, 24/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Поясните далекому от всего этого http. Почему вообще свойства транспорта как-то повлияли на apt? Есть же подписанный Release, в нем есть хэш Packages, а в нем хэши deb'ов. И что мешает проверить хэш полученного файла? Для того это все и существует, чтобы обнаруживать, пришел ли файл целым и настоящим, или испорченным. Невзирая на то, как он пришел. Чего я не понимаю? Всего?
     
     
  • 2.125, Аноним (125), 15:33, 25/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Там проблема не в транспорте а в обработчиках и архитектуре апта. Из-за ошибки все проверялось не так как должно. Https уберег бы от этого.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor