CVE-2016-1252: apt security update

[schorsch_76]

Auf der Security Debian Liste hab ich das folgende gelesen:

Jann Horn of Google Project Zero discovered that APT, the high level
package manager, does not properly handle errors when validating
signatures on InRelease files. An attacker able to man-in-the-middle
HTTP requests to an apt repository that uses InRelease files
(clearsigned Release files), can take advantage of this flaw to
circumvent the signature of the InRelease file, leading to arbitrary
code execution.

https://lists.debian.org/debian-securit ... 00316.html

Unschön. Sehr unschön ....

[uname]

Sehr schöne Beschreibung inkl. Anleitung wie man per MiM die Sicherheitslücke ausnutzt.

https://bugs.launchpad.net/ubuntu/+sour ... ug/1647467

Sicherheitslücken gibt es immer. Ich würde sagen, dass das Konzept nicht vollständig durchdacht war.
Schlimmer fande ich seinerzeit den SSL-Bug https://www.debian.org/security/2008/dsa-1571 . Das war der Supergau.

[DeletedUserReAsG]

Eine akute Gefahr sehe ich da aber auch eher bei Fremdquellen. Zumindest hoffe ich, dass die debianeigenen Repos es einem Angreifer nicht zu einfach machen, die betreffenden Daten zu manipulieren – aber bei Fremdquellen und insbesondere auch PPA wäre ich mir nicht so sicher, ob die immer von vertrauenswürdigen und kompetenten Leuten betrieben werden ….

[inne]

Fefe hat da auch was zu geschrieben:

Übrigens ist damals wie heute die korrekte Reaktion nicht "mal die Pakete updaten" sondern "mal das System komplett frisch aufsetzen".

Da hoffen wir mal mit niemand, das er recht hat.

[mludwig]

Wenn ich das recht verstehe, ist das völlig unabhängig davon ob Fremdquelle oder nicht. Die Gefahr ist ein MITM, also dass sich jemand zwischen meine Debian-Maschine und mein Debian-Repository, das ich für das Update nutze, klemmt. Dann schiebt er mir gefälschte Pakete mit bösartigem Inhalt unter, und die Signaturprüfung schlägt wegen dem erwähnten Bug in 25% der Fälle nicht Alarm und installiert das Paket. Da einige Repos nicht über https arbeiten, ist der MITM dort auch machbar ohne das es auffällt.