Sicherheitslücke in apt
-
- Beiträge: 385
- Registriert: 16.06.2017 09:52:36
Sicherheitslücke in apt
https://www.debian.org/security/2019/dsa-4371
Dort steht auch eine Empfehlung fürs update.
Dort steht auch eine Empfehlung fürs update.
Re: Sicherheitslücke in apt
Jaja. Hier auch. Man bekommt langsam Angst. Erst systemd und jetzt apt. Paranoide könnten jetzt denken, dass Debian von der NSA entwickelt wird
Re: Sicherheitslücke in apt
Sicherheitslücken gibt es überall. Um Sicherheitslücken wie diese zu finden, muss man auch ein wenig kreativ sein
Re: Sicherheitslücke in apt
Gestern kam übrigens ein Update für apt. Besser geht es nicht. Und wie immer, eine sehr lobenswerte Transparenz, die man von Windoof oder Apple meistens nur über Dritte oder Vierte erfährt und am besten gar nicht.
Re: Sicherheitslücke in apt
Wie sieht es dazu eigentlich bei Buster aus? Gibt's das Problem da auch bzw ist es schon gepatcht?
- KBDCALLS
- Moderator
- Beiträge: 22359
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Re: Sicherheitslücke in apt
Mit dem Unterschied das systemd nicht von Debian selbst entwickelt wird, und damit auch andere wie Redhat , SuSE betroffen sind. Und mit Mr. Pottering hat schon immer Knatsch gegeben , solange es Systemd gibt und auch schon davor.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
- KBDCALLS
- Moderator
- Beiträge: 22359
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Re: Sicherheitslücke in apt
Glur hat geschrieben:23.01.2019 18:37:20Wie sieht es dazu eigentlich bei Buster aus? Gibt's das Problem da auch bzw ist es schon gepatcht?
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
Re: Sicherheitslücke in apt
Re: Sicherheitslücke in apt
Stimmt! Danke für den Hinweis. Ich kam wohl etwas zu viel in Schwung, war auch etwas viel in (zu) kurzer Zeit, finde ich.KBDCALLS hat geschrieben:23.01.2019 18:40:12Mit dem Unterschied das systemd nicht von Debian selbst entwickelt wird, und damit auch andere wie Redhat , SuSE betroffen sind. Und mit Mr. Pottering hat schon immer Knatsch gegeben , solange es Systemd gibt und auch schon davor.
-
- Beiträge: 385
- Registriert: 16.06.2017 09:52:36
Re: Sicherheitslücke in apt
Also den Debian-Leuten kann man meiner Meinung nach wirklich keine Vorwürfe machen. Ich habe nur von der Sicherheitslücke in apt berichtet, damit ihr die Hinweise bezüglich des updates mitbekommt und berücksichtigen könnt, wenn ihr wollt.
Quelle: https://www.debian.org/security/2019/dsa-4371 (obiger Link)Since the vulnerability is present in the package manager itself, it is recommended to disable redirects in order to prevent exploitation during this upgrade only, using:
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
Re: Sicherheitslücke in apt
Es wird daher heute oder morgen ein spontanes Pointrelease geben.
https://lists.debian.org/debian-release ... 00404.html
https://lists.debian.org/debian-release ... 00404.html
-
- Beiträge: 196
- Registriert: 11.03.2018 23:09:05
Re: Sicherheitslücke in apt
Nun ist eine Diskussion über https bei apt entfacht.
https://www.golem.de/news/apt-bug-in-de ... 38919.html
War man vulnerabel, wenn man Onion-Strings in der sources.list verwendet hat?
viewtopic.php?f=27&t=171283&hilit=onion ... fe423a3327
Bzw für die Zukunft: Ist hier eine Verwendung von onion-services eine Alternative zu https?
https://www.golem.de/news/apt-bug-in-de ... 38919.html
War man vulnerabel, wenn man Onion-Strings in der sources.list verwendet hat?
viewtopic.php?f=27&t=171283&hilit=onion ... fe423a3327
Bzw für die Zukunft: Ist hier eine Verwendung von onion-services eine Alternative zu https?
Zuletzt geändert von debianuser4782 am 24.01.2019 22:21:46, insgesamt 1-mal geändert.
Re: Sicherheitslücke in apt
Top und wirklich wichtig. Ich frage mich gerade ob auch andere Linux-Derivate ein Pointrelease rausgebracht hätten.albundy hat geschrieben:Es wird daher heute oder morgen ein spontanes Pointrelease geben.
Weiß jemand wie Microsoft mit Installationsmedien jeglicher Art umgegangen wäre, wo der Update-Mechanismus einen ähnlichen Fehler hätte?
Wie installiert man eigentlich Windows, wenn es nicht vorinstalliert ist? Ich glaube ich werde alt.
Re: Sicherheitslücke in apt
Zu Verschlüsselung habe ich eine eigene Meinung. Ich halte es in diesem Fall für gefährlich, anzunehmen, daß man mit HTTPS keine Redirects einbauen könnte. Der Fehler wäre durch HTTPS nicht vermeidbar gewesen, er wäre nur dank Verschlüsselung erst viel später aufgefallen und die "bösen Jungs" hätten mehr Zeit gehabt, echten Schaden anzurichten.debianuser4782 hat geschrieben:24.01.2019 00:56:39Nun ist eine Diskussion über https bei apt entfacht.
In wiefern schützt TOR vor Redirects? Wie soll HTTPS vor Redirects schützen?Bzw für die Zukunft: Ist hier eine Verwendung von onion-services eine Alternative zu https?
OK, das Redirect-Problem wurde jetzt sowieso geflickt, aber der nächste Fehler lauert bestimmt schon. Meiner Meinung sind HTTPS und TOR nur Security by Obscurity, schützen letzten Endes also nicht. Unverschlüsselte Verbindungen könnte jeder (ganz nach dem Open Source Gedanken) mit einfachsten Mitteln wie tcpdump oder den Logs, die squid produziert, selbst kontrollieren, Verschlüsselung macht das so gut wie unmöglich.
Bitte nicht mißverstehen. Bei meinen Onlinebestellungen möchte ich meine Kreditkartendaten auch nicht unverschlüsselt übertragen wissen.
Onlinebanking betreibe ich sowieso nicht, weil mir bewußt ist, daß man vor allem im Bankensektor mit HTTPS nur Sicherheit vortäuschen will. Die Banken haben eine lange Tradition darin, technische Unzulänglichkeiten juristisch als "sicher" deklarieren zu lassen. Ja, wenn ein Jurist sagt, das ist sicher, dann wird das wohl stimmen. Beispiel?
https://de.wikipedia.org/wiki/Chaos_Com ... b#Btx-Hack
Re: Sicherheitslücke in apt
Die Daten sind so sicher wie die Renten es einmal waren und des Weiteren wie alles was der sog. Bund anpackt /*Politik Ende*/. Mit apt dürfte zunächst alles wieder i. O. sein und in diesem Sinne: bis zur nächsten, noch unentdeckten Lücke
- OrangeJuice
- Beiträge: 625
- Registriert: 12.06.2017 15:12:40
Re: Sicherheitslücke in apt
Sollte man aufgrund des Fehler, wenn man Debian per NetInstall installiert hat, mit dem neuen Image die Installation erneut machen?
- novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: Sicherheitslücke in apt
Ne, auf keinen Fall. Ein Upgrade mit den Fixes reicht völlig aus.OrangeJuice hat geschrieben:24.01.2019 16:36:29Sollte man aufgrund des Fehler, wenn man Debian per NetInstall installiert hat, mit dem neuen Image die Installation erneut machen?
Du solltest aber für den Fall, dass Du weitere Rechner mit Debian ausrüsten willst, das gefixte Image benutzen.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: Sicherheitslücke in apt
Medium (CD oder USB-Stick) rein, booten, durchklicken, neustarten.... Auch nicht viel schwieriger als ein handelsübliches Linux.uname hat geschrieben:Wie installiert man eigentlich Windows, wenn es nicht vorinstalliert ist? Ich glaube ich werde alt.
Zuletzt geändert von Glur am 24.01.2019 21:26:20, insgesamt 1-mal geändert.
Re: Sicherheitslücke in apt
Hi. Habe ich das richtig erfasst?
Das aktuelle alt (und apt-get) hat eine Lücke. Ein man-in-the-middle konnte damit bei jedem ausgeführen apt -Befehl auf jedem Debian PC ein beliebiges Kommando als root zur Ausführung unterschieben? [Paranoia an] Da nsx u.a. Wissensbegierig einrichtungen über Jahre hinweg die zentralen internetknoten überwacht haben (und potentiell auch den Datenverkehr manipulieren konnten), ist es denkbar, dass nahezu allen apt-nutzern ein root-kit untergeschoben wurde? [Paranoia aus] ... Ich will nicht trollen, möchte nur die potentielle Reichweite einschätzen. Rootkits würde man nur mittels Neuinstallation weg bekommen; außer das rootkit wurde ins uefi geschrieben. [Paranoia wirklich aus]. ???
Das aktuelle alt (und apt-get) hat eine Lücke. Ein man-in-the-middle konnte damit bei jedem ausgeführen apt -Befehl auf jedem Debian PC ein beliebiges Kommando als root zur Ausführung unterschieben? [Paranoia an] Da nsx u.a. Wissensbegierig einrichtungen über Jahre hinweg die zentralen internetknoten überwacht haben (und potentiell auch den Datenverkehr manipulieren konnten), ist es denkbar, dass nahezu allen apt-nutzern ein root-kit untergeschoben wurde? [Paranoia aus] ... Ich will nicht trollen, möchte nur die potentielle Reichweite einschätzen. Rootkits würde man nur mittels Neuinstallation weg bekommen; außer das rootkit wurde ins uefi geschrieben. [Paranoia wirklich aus]. ???
Re: Sicherheitslücke in apt
Wann und wo bitte habe ich das denn geschrieben? Zitat falsch gelaufen?Glur hat geschrieben:24.01.2019 18:08:59Medium (CD oder USB-Stick) rein, booten, durchklicken, neustarten.... Auch nicht viel schwieriger als ein handelsübliches Linux.albundy hat geschrieben:Wie installiert man eigentlich Windows, wenn es nicht vorinstalliert ist? Ich glaube ich werde alt.
@Glur
Wir auch immer du es geschafft hast, aber du hast mich falsch zitiert. Guck mal:
viewtopic.php?f=1&t=172027&p=1196254&hi ... t#p1196254
Das hatte @uname geschrieben!
- jph
- Beiträge: 1049
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Greven/Westf.
Re: Sicherheitslücke in apt
Das Projekt hat m.E. vorbildlich reagiert und ad hoc Debian 9.7 herausgeschoben. Einzige Änderung gegenüber 9.6: gefixtes apt, damit die Installationsimages sauber sind.
Re: Sicherheitslücke in apt
Oh ja, da ist wohl irgendwas schief gegangen... Sorry
-
- Beiträge: 196
- Registriert: 11.03.2018 23:09:05
Re: Sicherheitslücke in apt
Ja, die Erwägungen leuchten ein.MSfree hat geschrieben:24.01.2019 08:44:40Zu Verschlüsselung habe ich eine eigene Meinung. Ich halte es in diesem Fall für gefährlich, anzunehmen, daß man mit HTTPS keine Redirects einbauen könnte. Der Fehler wäre durch HTTPS nicht vermeidbar gewesen, er wäre nur dank Verschlüsselung erst viel später aufgefallen und die "bösen Jungs" hätten mehr Zeit gehabt, echten Schaden anzurichten.debianuser4782 hat geschrieben:24.01.2019 00:56:39Nun ist eine Diskussion über https bei apt entfacht.
In wiefern schützt TOR vor Redirects? Wie soll HTTPS vor Redirects schützen?Bzw für die Zukunft: Ist hier eine Verwendung von onion-services eine Alternative zu https?
OK, das Redirect-Problem wurde jetzt sowieso geflickt, aber der nächste Fehler lauert bestimmt schon. Meiner Meinung sind HTTPS und TOR nur Security by Obscurity, schützen letzten Endes also nicht. Unverschlüsselte Verbindungen könnte jeder (ganz nach dem Open Source Gedanken) mit einfachsten Mitteln wie tcpdump oder den Logs, die squid produziert, selbst kontrollieren, Verschlüsselung macht das so gut wie unmöglich.
Bitte nicht mißverstehen. Bei meinen Onlinebestellungen möchte ich meine Kreditkartendaten auch nicht unverschlüsselt übertragen wissen.
Onlinebanking betreibe ich sowieso nicht, weil mir bewußt ist, daß man vor allem im Bankensektor mit HTTPS nur Sicherheit vortäuschen will. Die Banken haben eine lange Tradition darin, technische Unzulänglichkeiten juristisch als "sicher" deklarieren zu lassen. Ja, wenn ein Jurist sagt, das ist sicher, dann wird das wohl stimmen. Beispiel?
https://de.wikipedia.org/wiki/Chaos_Com ... b#Btx-Hack
Wie ich inzwischen herausfinden konnte, ist Diskussionsgegenstand lediglich "https in source.list in Debian per default", da es über das Paket "apt-transport-https" ja schon eine Möglichkeit gibt "https" in der sources.list zu verwenden:
With the apt-transport-https package installed, you can instead use https://... in all of the above lines to use the repositories over encrypted HTTPS connections. https://wiki.debian.org/SourcesList
Anders scheint bei einer über onion-strings torifizierte sources.list kein https vorgesehen zu sein, wie in folgenden Listen [1] und im Thread [2] sowie im wiki [3] zu sehen:
[1]
https://onion.debian.org/
https://onion.torproject.org/
[2]
https://tor.stackexchange.com/questions ... ists-https
[3]
https://wiki.debian.org/SourcesList:
Here is an example sources.list using the onion services for Debian 9/Stretch:
Code: Alles auswählen
deb tor+http://vwakviie2ienjx6t.onion/debian stretch main
deb-src tor+http://vwakviie2ienjx6t.onion/debian stretch main
deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates main
deb-src tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates main
deb tor+http://vwakviie2ienjx6t.onion/debian stretch-updates main
deb-src tor+http://vwakviie2ienjx6t.onion/debian stretch-updates main
Re: Sicherheitslücke in apt
Dann hast du den von dir auf Seite 1 verlinkten Thread aber nur oberflächlich gelesen, genau wie [2], was mit der Thematik überhaupt nicht zu tun hat!? Verbindungen zu Onion Services sind Ende-zu-Ende verschlüsselt.debianuser4782 hat geschrieben:24.01.2019 22:31:07Anders scheint bei einer über onion-strings torifizierte sources.list kein https vorgesehen zu sein, wie in folgenden Listen [1] und im Thread [2] sowie im wiki [3] zu sehen:
...
[2]
https://tor.stackexchange.com/questions ... ists-https
-
- Beiträge: 196
- Registriert: 11.03.2018 23:09:05
Re: Sicherheitslücke in apt
Ich ging davon aus, man könne onion-services zusätzlich zu https verwenden und dies würde dann entsprechend in der sources.list so abgebildet. Also in etwa: https verschachtelt durch Tor.tobo hat geschrieben:24.01.2019 23:33:33Dann hast du den von dir auf Seite 1 verlinkten Thread aber nur oberflächlich gelesen, genau wie [2], was mit der Thematik überhaupt nicht zu tun hat!? Verbindungen zu Onion Services sind Ende-zu-Ende verschlüsselt.debianuser4782 hat geschrieben:24.01.2019 22:31:07Anders scheint bei einer über onion-strings torifizierte sources.list kein https vorgesehen zu sein, wie in folgenden Listen [1] und im Thread [2] sowie im wiki [3] zu sehen:
...
[2]
https://tor.stackexchange.com/questions ... ists-https