Уязвимость в пакетном менеджере APT, позволяющая обойти проверку пакетов

17.09.2014 22:43

Разработчики Debian и Ubuntu выпустили корректирующее обновление пакетного менеджера APT в котором устранено 4 уязвимости, в результате которых можно обойти процесс проверки целостности и источника пакетов:

CVE-2014-0487 - не выполняется перепроверка загруженных файлов, если при запросе с заголовком If-Modified-Since выдаётся ответ http-сервера (304) о неизменности файла;
CVE-2014-0490 - не выполняется корректная проверка цифровой подписи, если пакет загружен с использованием команды "apt download";
CVE-2014-0488 - данные репозитория не признаются недействительными, если репозиторий переключен из состояния без аутентификации в состояние, требующее аутентификации;
CVE-2014-0489 - опция APT Acquire::GzipIndexes (не включена по умолчанию) приводит к пропуску проверки контрольной суммы.

исправить +10 +/–

Главная ссылка к новости (https://www.debian.org/securit...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/40620-apt

Ключевые слова: apt, debian, ubuntu

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.1, fi (ok), 23:44, 17/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Сурово, после стольких лет развития такие проблемы. Пожелаем удачи!

2.12, тоже Аноним (ok), 02:09, 18/09/2014 [^] [^^] [^^^] [ответить]	+8 +/–
Остается пожелать всем только таких проблем. Для эксплуатации любой из этих уязвимостей нужно иметь права рута в системе. И при этом выполнять нетривиальные действия. Прям-таки решето, что уж там.

3.18, Аноним (-), 10:56, 18/09/2014 [^] [^^] [^^^] [ответить]	+1 +/–
или иметь рута сервере откуда тянут. дыра в apt download - намекает на это.

4.19, тоже Аноним (ok), 11:24, 18/09/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Или иметь рута везде и захватить мир. Вы лично сколько раз скачивали пакеты apt-ом вместо того, чтобы сразу их установить? Мне лично ни разу не доводилось.

2.15, unscrubber3 (?), 06:41, 18/09/2014 [^] [^^] [^^^] [ответить]	+1 +/–
вы не потрудились вникнуть, либо у вас мелковиндовая линуксофобия. все 4 описаных бага не возникают при обычной эксплуатации (типа поставил через synaptic/другой GUI менеджер из обычного репозитария чегонибудь).

2.24, Аноним (-), 22:30, 18/09/2014 [^] [^^] [^^^] [ответить]	+1 +/–
> Сурово, после стольких лет развития такие проблемы. Пожелаем удачи! Парни из Linaro были явно не в курсе этих упущений, просто отключив проверку подписей в раздаваемом ими образе rootfs убунты и прописав свой реп.

1.3, Аноним (-), 23:50, 17/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Правильнее: "Разработчики Debian выпустили, а разработчики Ubuntu скопировали...".

2.5, irinat (ok), 00:19, 18/09/2014 [^] [^^] [^^^] [ответить]	+11 +/–
Хватит уже. Разработчики Debian и Ubuntu — это пересекающиеся множества.

3.7, Аноним (-), 01:00, 18/09/2014 [^] [^^] [^^^] [ответить]	–7 +/–
Хватит уже. Разработчики - это Debian. Точка.

4.11, chinarulezzz (ok), 01:34, 18/09/2014 [^] [^^] [^^^] [ответить]	+6 +/–
А еще убунту-разработчики коммитят в ядро линукса. И в дебиан патчи присылают https://bugs.debian.org/cgi-bin/pkgreport.cgi?users=ubuntu-devel@lists.ub и вообще, как уже сказали: пересекающиеся множества, т.е. не только с дебиана присылают патчи в убунту и наоборот, а одни и те же разработчики и там и там. Так что выкуси аноним)

4.25, Аноним (-), 22:31, 18/09/2014 [^] [^^] [^^^] [ответить]	+/–
> Хватит уже. Разработчики - это Debian. Точка. В мире открытых исходников нет жестких границ. Как бы некоторым скудоумым этого ни хотелось.

2.10, chinarulezzz (ok), 01:24, 18/09/2014 [^] [^^] [^^^] [ответить]

+3 +/–

>"Разработчики Debian выпустили, а разработчики Ubuntu скопировали...".

committers:

David Kalnischkies <kalnischkies@gmail.com> ( https://launchpad.net/~donkult )
Marc Deslauriers marc.deslauriers@canonical.com
Michael Vogt <michael.vogt@ubuntu.com>

Мухахаха :D

P.S. Не удивлюсь если сам пишешь не с дебиана, потому как дебиан-сообществу выгодней взаимодействовать с убунту-сообществом.

3.16, anonymus (?), 09:04, 18/09/2014 [^] [^^] [^^^] [ответить]	–2 +/–
> P.S. Не удивлюсь если сам пишешь не с дебиана, > потому как дебиан-сообществу выгодней взаимодействовать с убунту-сообществом. Вы имели в виду с сообществом дистрибутива-которого-нельзя-называть?

1.9, Аноним (-), 01:20, 18/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А как там в Alt-linux ?

2.13, Michael Shigorin (ok), 03:57, 18/09/2014 [^] [^^] [^^^] [ответить]	–1 +/–
> А как там в Alt-linux ? Проверять надо (у нас производное apt 0.5, отличающееся от него крайне сильно) -- а вообще в #12 написана правда, насколько понимаю.

1.14, the joker (ok), 06:19, 18/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ну что ж, обновимся.

1.17, Аноним (-), 09:50, 18/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
То есть, эта хрень мало того что непонятно от чего то забывает, ключи подписи пакетов, то вспоминает, так ещё и дырявая?

2.27, Аноним (-), 22:36, 18/09/2014 [^] [^^] [^^^] [ответить]	+/–
> То есть, эта хрень мало того что непонятно от чего то забывает, > ключи подписи пакетов, Машина - не склеротик, если у вас такие плюхи случаются, у вас что-то очень сильно поломано в вашей системе на самых базовых уровнях работы системы.

1.20, Аноним (-), 13:19, 18/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
в ubuntu 12.10 постоянно выскакивают сообщения что цифровая подпись пакета не прошла валидацию...

2.23, Fierta (?), 18:32, 18/09/2014 [^] [^^] [^^^] [ответить]	+1 +/–
А может стоит перестать сидеть на уже не поддерживаемой версии? Это же не LTS.

2.26, Аноним (-), 22:32, 18/09/2014 [^] [^^] [^^^] [ответить]	+/–
> в ubuntu 12.10 ...сдох ваш бобик. LTS который будет долго поддерживаться - 12.04, а у 12.10 закончилась поддержка.

2.29, angra (ok), 23:55, 18/09/2014 [^] [^^] [^^^] [ответить]	+/–
А еще можно писать всякую херню в консоли и жаловаться, на постоянные надписи 'command not found'. Добавьте ключи от используемых реп через установку keyring пакетов или apt-key add, после чего сделайте apt-get update

игнорирование участников | лог модерирования

Добавить комментарий

Текст: