The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В пакетном менеджере APT выявлена новая уязвимость

23.09.2014 22:52

Спустя всего неделю с момента исправления порции уязвимостей в пакетном менеджере APT, для Debian и Ubuntu доступны очередное корректирующее обновление с устранением ещё одной уязвимости (CVE-2014-6273). Проблема вызвана переполнением буфера в коде загрузки данных по протоколу HTTP в apt-get и может привести к организации выполнения кода злоумышленника, который имеет возможность вклиниться в трафик через проведение MITM-атаки (man-in-the-middle).

  1. Главная ссылка к новости (https://lists.debian.org/debia...)
  2. OpenNews: Уязвимость в пакетном менеджере APT, позволяющая обойти проверку пакетов
  3. OpenNews: Релиз пакетного менеджера Apt 1.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40658-apt
Ключевые слова: apt
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 00:42, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и куда он дальше клиниться будет?
     
     
  • 2.19, Аноним (-), 09:04, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    После выполнения кода? Куда пожелает.
     

  • 1.10, pavlinux (ok), 06:08, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Как же обновить apt, если apt дырявый apt-get upgrade Пакеты, которые ... большой текст свёрнут, показать
     
     
  • 2.12, Аноним (-), 06:37, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Тебя удивляет, что в дистрибутиве обновляются пакеты? Или в чём твоя проблема?
     
     
  • 3.20, Аноним (-), 09:05, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Тебя удивляет, что в дистрибутиве обновляются пакеты? Или в чём твоя проблема?

    Да это криокамера разморозилась - он год в анабиозе лежал и тут до него вдруг дошло что пакеты оказывается иногда надо обновлять.

     
     
  • 4.32, EuPhobos (ok), 16:58, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по всему это Jessie/testing
     
  • 2.17, Xaionaro (ok), 08:03, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Как же обновить apt, если apt дырявый?

    Вариант 1:



    apt-get install apt


    --

    Вариант 2 (если боитесь уязвимости):



    apt-get download --print-uris apt
    wget -O /tmp/apt.deb $(apt-get download --print-uris apt | awk '{print $1}' | tr -d "'")
    ls -ld /tmp/apt.deb
    sha256sum /tmp/apt.deb
    dpkg -i /tmp/apt.deb


    Если совсем боитесь, то можете сами зайти на зеркало, найти нужный пакет, а также найти его hash-сумму и размер. После этого сделать wget и всё остальное.


    Хотя, IMO, неплохо было бы ещё исправить тот факт, что у вас легко эксплуатируют MITM. Например, у нас поднято локальное зеркало (в глобальной сети известное как "ftp.ru.debian.org"), доступ к которому для большинства хостов осуществляется через отдельные vlan-ы с разумно настроенным firewall-ом на gw. И, IMHO, самый простой способ вклиниться, это зломать данный gw (у которого в цепочке INPUT стоит тупо DROP), либо само зеркало.

     
     
  • 3.18, Аноним (-), 08:46, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    aptitude
     
     
  • 4.21, Xaionaro (ok), 09:46, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > aptitude

    Ну, лично у меня не стоит это… Однако если ближе к делу, то судя по зависимостям, aptitude использует «libapt-pkg». Вы уверены, что он не наследует эту же уязвимость?

     
     
  • 5.23, Аноним (23), 10:25, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это вообще просто удобная обвязка.
     
  • 5.26, Аноним (-), 11:50, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не наследует, уязвимость в бинарниках apt, а не в библиотеке.
    В Debian устанавливается по умолчанию.
     
     
  • 6.28, Xaionaro (ok), 12:21, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Не наследует, уязвимость в бинарниках apt, а не в библиотеке.

    Обычно в таких случаях кидают proof link.

    > В Debian устанавливается по умолчанию.

    Ну, лично я для себя делаю свои установочники, чтобы не тратить каждый раз время. Догадываюсь, что так делают многие.

     
  • 3.30, Посторонним В (?), 13:54, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И, IMHO,
    > самый простой способ вклиниться, это зломать данный gw (у которого в
    > цепочке INPUT стоит тупо DROP), либо само зеркало.

    Почему самый простой - это именно этот? :-)

     
     
  • 4.39, Xaionaro (ok), 21:31, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> И, IMHO,
    >> самый простой способ вклиниться, это зломать данный gw (у которого в
    >> цепочке INPUT стоит тупо DROP), либо само зеркало.
    > Почему самый простой - это именно этот? :-)

    А какой способ проще?

     
  • 3.41, Michael Shigorin (ok), 02:16, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вариант 2 (если боитесь уязвимости):
    > wget -O /tmp/

    Сперва люди пишут в новостях по дыркам такое, затем -- в скрипты, а затем их раньше полоскали в багтраке по статье insecure /tmp use (в данном разе 100% предсказуемое имя файла -- при помощи болтающегося симлинка получается шанс юзеру обеспечить запись от рута содержимого этого apt.deb в любое удобное и уже существующее место)...

    Не пишите в каталоги, которые доступны другим пользователям на запись, файлы с предсказуемыми именами.  Хотя бы в скриптах.  Привычка -- страшная штука.

     
     
  • 4.42, Xaionaro (ok), 07:37, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вариант 2 (если боитесь уязвимости):
    >> wget -O /tmp/
    > Сперва люди пишут в новостях по дыркам такое, затем -- в скрипты,
    > а затем их раньше полоскали в багтраке по статье insecure /tmp
    > use (в данном разе 100% предсказуемое имя файла -- при помощи
    > болтающегося симлинка получается шанс юзеру обеспечить запись от рута содержимого этого
    > apt.deb в любое удобное и уже существующее место)...
    > Не пишите в каталоги, которые доступны другим пользователям на запись, файлы с
    > предсказуемыми именами.  Хотя бы в скриптах.  Привычка -- страшная
    > штука.

    Согласен, я написал хреновый вариант. И я действительно иногда так делаю, хоть это и свойственно только для личных машин (где сильно недоверенных пользователей нет). В общем, благодарю за хорошее замечание. :)

    Однако "ls -ld /tmp/apt.deb" (указанный в инструкции) всё-таки объяснил бы что к чему, если бы действительно кто-то воспользовался моментом. Да и "sha256sum /tmp/apt.deb" (тоже упомянутый) чуток полезен для таких ситуаций.

    Кроме того это и не надо было воспринимать как точную инструкцию, скорее просто как proof of concept. Я даже не проверил работоспособность данного варианта.

     
  • 2.22, Andrey Mitrofanov (?), 10:22, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Как же обновить apt, если apt дырявый?

    Если тебя все аттакуют и поставить apt самим apt-том не вариант, то...

    Ну, wget-ом по цепочке с проверками всех подписей и хэшеё Release + Releas.gpg + Packages.xz + все .deb. Ты сможешь!

    > # apt-get upgrade ...
    > Пакеты, которые будут обновлены:
    >пт... o_0

    Даже и не думай об /var/log/messages и tcpdump -vvi any!

     

  • 1.15, Аноним (-), 07:39, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    прилетело, обновили, забыли
    чо хай то в каментах поднимать ?
     
     
  • 2.16, Аноним (-), 07:58, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну правильно - надо все в тихую делать.. а о дырах не рассказывать. Не за это ли ругают MS?
     

  • 1.24, Аноним (-), 11:26, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ASCIIZ строки дают о себе знать. Автор наверняка выделил буфер фиксированной длины и что-то не учел. Можно, конечно, постоянно высчитывать длину, выделять память, но на это требуется время, что соответственно сказывается на производительности.
     
     
  • 2.27, Аноним (-), 11:51, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но как вы догадались, Холмс?
     

  • 1.31, IMHO (?), 14:11, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    такие новости выпускает фанат Поттеринга, что бы пилить пакетный манеджер еще в системД
     
  • 1.38, inkvizitor68sl (?), 19:08, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а никого не смущает тот факт, что все репозитории работают по http и вместо любого пакета mitm может подложить пакет, меняющий рутовый пароль) ?
     
     
  • 2.40, Crazy Alex (ok), 23:15, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    man криптография с открытым ключом
     
     
  • 3.43, Andrey Mitrofanov (?), 10:51, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > man криптография с открытым ключом

    .deb проверяется по размеру, и MD5, и SHA1, и SHA256, и SHA512. Пожелаем успеха предыдущему оратору в генерации подходящей коллизии.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру