Sicherheitslücke in apt

Neuigkeiten rund um GNU/Linux
RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Sicherheitslücke in apt

Beitrag von RobertDebiannutzer » 22.01.2019 23:55:49

https://www.debian.org/security/2019/dsa-4371
Dort steht auch eine Empfehlung fürs update.

am2
Beiträge: 276
Registriert: 20.08.2016 21:56:44

Re: Sicherheitslücke in apt

Beitrag von am2 » 23.01.2019 14:25:36

Jaja. Hier auch. Man bekommt langsam Angst. Erst systemd und jetzt apt. Paranoide könnten jetzt denken, dass Debian von der NSA entwickelt wird :lol:

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Sicherheitslücke in apt

Beitrag von uname » 23.01.2019 14:41:13

Sicherheitslücken gibt es überall. Um Sicherheitslücken wie diese zu finden, muss man auch ein wenig kreativ sein ;-)

am2
Beiträge: 276
Registriert: 20.08.2016 21:56:44

Re: Sicherheitslücke in apt

Beitrag von am2 » 23.01.2019 18:34:52

Gestern kam übrigens ein Update für apt. Besser geht es nicht. Und wie immer, eine sehr lobenswerte Transparenz, die man von Windoof oder Apple meistens nur über Dritte oder Vierte erfährt und am besten gar nicht.

Glur
Beiträge: 62
Registriert: 13.10.2017 15:43:09

Re: Sicherheitslücke in apt

Beitrag von Glur » 23.01.2019 18:37:20

Wie sieht es dazu eigentlich bei Buster aus? Gibt's das Problem da auch bzw ist es schon gepatcht?

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: Sicherheitslücke in apt

Beitrag von KBDCALLS » 23.01.2019 18:40:12

am2 hat geschrieben: ↑ zum Beitrag ↑
23.01.2019 14:25:36
Jaja. Hier auch. Man bekommt langsam Angst. Erst systemd und jetzt apt. Paranoide könnten jetzt denken, dass Debian von der NSA entwickelt wird :lol:
Mit dem Unterschied das systemd nicht von Debian selbst entwickelt wird, und damit auch andere wie Redhat , SuSE betroffen sind. Und mit Mr. Pottering hat schon immer Knatsch gegeben , solange es Systemd gibt und auch schon davor.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: Sicherheitslücke in apt

Beitrag von KBDCALLS » 23.01.2019 18:42:58

Glur hat geschrieben: ↑ zum Beitrag ↑
23.01.2019 18:37:20
Wie sieht es dazu eigentlich bei Buster aus? Gibt's das Problem da auch bzw ist es schon gepatcht?
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

Glur
Beiträge: 62
Registriert: 13.10.2017 15:43:09

Re: Sicherheitslücke in apt

Beitrag von Glur » 23.01.2019 18:43:44

KBDCALLS hat geschrieben: ↑ zum Beitrag ↑
23.01.2019 18:42:58
Glur hat geschrieben: ↑ zum Beitrag ↑
23.01.2019 18:37:20
Wie sieht es dazu eigentlich bei Buster aus? Gibt's das Problem da auch bzw ist es schon gepatcht?
Ah cool, danke!

am2
Beiträge: 276
Registriert: 20.08.2016 21:56:44

Re: Sicherheitslücke in apt

Beitrag von am2 » 23.01.2019 19:05:23

KBDCALLS hat geschrieben: ↑ zum Beitrag ↑
23.01.2019 18:40:12
Mit dem Unterschied das systemd nicht von Debian selbst entwickelt wird, und damit auch andere wie Redhat , SuSE betroffen sind. Und mit Mr. Pottering hat schon immer Knatsch gegeben , solange es Systemd gibt und auch schon davor.
Stimmt! Danke für den Hinweis. Ich kam wohl etwas zu viel in Schwung, war auch etwas viel in (zu) kurzer Zeit, finde ich.

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: Sicherheitslücke in apt

Beitrag von RobertDebiannutzer » 23.01.2019 22:08:12

Also den Debian-Leuten kann man meiner Meinung nach wirklich keine Vorwürfe machen. Ich habe nur von der Sicherheitslücke in apt berichtet, damit ihr die Hinweise bezüglich des updates mitbekommt und berücksichtigen könnt, wenn ihr wollt.
Since the vulnerability is present in the package manager itself, it is recommended to disable redirects in order to prevent exploitation during this upgrade only, using:
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
Quelle: https://www.debian.org/security/2019/dsa-4371 (obiger Link)

albundy
Beiträge: 83
Registriert: 26.08.2009 19:49:12

Re: Sicherheitslücke in apt

Beitrag von albundy » 23.01.2019 22:37:54

Es wird daher heute oder morgen ein spontanes Pointrelease geben.

https://lists.debian.org/debian-release ... 00404.html

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: Sicherheitslücke in apt

Beitrag von debianuser4782 » 24.01.2019 00:56:39

Nun ist eine Diskussion über https bei apt entfacht.
https://www.golem.de/news/apt-bug-in-de ... 38919.html

War man vulnerabel, wenn man Onion-Strings in der sources.list verwendet hat?
viewtopic.php?f=27&t=171283&hilit=onion ... fe423a3327
Bzw für die Zukunft: Ist hier eine Verwendung von onion-services eine Alternative zu https?
Zuletzt geändert von debianuser4782 am 24.01.2019 22:21:46, insgesamt 1-mal geändert.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Sicherheitslücke in apt

Beitrag von uname » 24.01.2019 07:53:57

albundy hat geschrieben:Es wird daher heute oder morgen ein spontanes Pointrelease geben.
Top und wirklich wichtig. Ich frage mich gerade ob auch andere Linux-Derivate ein Pointrelease rausgebracht hätten.
Weiß jemand wie Microsoft mit Installationsmedien jeglicher Art umgegangen wäre, wo der Update-Mechanismus einen ähnlichen Fehler hätte?
Wie installiert man eigentlich Windows, wenn es nicht vorinstalliert ist? Ich glaube ich werde alt.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Sicherheitslücke in apt

Beitrag von MSfree » 24.01.2019 08:44:40

debianuser4782 hat geschrieben: ↑ zum Beitrag ↑
24.01.2019 00:56:39
Nun ist eine Diskussion über https bei apt entfacht.
Zu Verschlüsselung habe ich eine eigene Meinung. Ich halte es in diesem Fall für gefährlich, anzunehmen, daß man mit HTTPS keine Redirects einbauen könnte. Der Fehler wäre durch HTTPS nicht vermeidbar gewesen, er wäre nur dank Verschlüsselung erst viel später aufgefallen und die "bösen Jungs" hätten mehr Zeit gehabt, echten Schaden anzurichten.
Bzw für die Zukunft: Ist hier eine Verwendung von onion-services eine Alternative zu https?
In wiefern schützt TOR vor Redirects? Wie soll HTTPS vor Redirects schützen?
OK, das Redirect-Problem wurde jetzt sowieso geflickt, aber der nächste Fehler lauert bestimmt schon. Meiner Meinung sind HTTPS und TOR nur Security by Obscurity, schützen letzten Endes also nicht. Unverschlüsselte Verbindungen könnte jeder (ganz nach dem Open Source Gedanken) mit einfachsten Mitteln wie tcpdump oder den Logs, die squid produziert, selbst kontrollieren, Verschlüsselung macht das so gut wie unmöglich.

Bitte nicht mißverstehen. Bei meinen Onlinebestellungen möchte ich meine Kreditkartendaten auch nicht unverschlüsselt übertragen wissen.

Onlinebanking betreibe ich sowieso nicht, weil mir bewußt ist, daß man vor allem im Bankensektor mit HTTPS nur Sicherheit vortäuschen will. Die Banken haben eine lange Tradition darin, technische Unzulänglichkeiten juristisch als "sicher" deklarieren zu lassen. Ja, wenn ein Jurist sagt, das ist sicher, dann wird das wohl stimmen. Beispiel?
https://de.wikipedia.org/wiki/Chaos_Com ... b#Btx-Hack

am2
Beiträge: 276
Registriert: 20.08.2016 21:56:44

Re: Sicherheitslücke in apt

Beitrag von am2 » 24.01.2019 14:09:41

Die Daten sind so sicher wie die Renten es einmal waren und des Weiteren wie alles was der sog. Bund anpackt /*Politik Ende*/. Mit apt dürfte zunächst alles wieder i. O. sein und in diesem Sinne: bis zur nächsten, noch unentdeckten Lücke :)

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Sicherheitslücke in apt

Beitrag von OrangeJuice » 24.01.2019 16:36:29

Sollte man aufgrund des Fehler, wenn man Debian per NetInstall installiert hat, mit dem neuen Image die Installation erneut machen?

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Sicherheitslücke in apt

Beitrag von novalix » 24.01.2019 16:47:52

OrangeJuice hat geschrieben: ↑ zum Beitrag ↑
24.01.2019 16:36:29
Sollte man aufgrund des Fehler, wenn man Debian per NetInstall installiert hat, mit dem neuen Image die Installation erneut machen?
Ne, auf keinen Fall. Ein Upgrade mit den Fixes reicht völlig aus.
Du solltest aber für den Fall, dass Du weitere Rechner mit Debian ausrüsten willst, das gefixte Image benutzen.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

Glur
Beiträge: 62
Registriert: 13.10.2017 15:43:09

Re: Sicherheitslücke in apt

Beitrag von Glur » 24.01.2019 18:08:59

uname hat geschrieben:Wie installiert man eigentlich Windows, wenn es nicht vorinstalliert ist? Ich glaube ich werde alt.
Medium (CD oder USB-Stick) rein, booten, durchklicken, neustarten.... Auch nicht viel schwieriger als ein handelsübliches Linux.
Zuletzt geändert von Glur am 24.01.2019 21:26:20, insgesamt 1-mal geändert.

irianx

Re: Sicherheitslücke in apt

Beitrag von irianx » 24.01.2019 18:12:08

Hi. Habe ich das richtig erfasst?
Das aktuelle alt (und apt-get) hat eine Lücke. Ein man-in-the-middle konnte damit bei jedem ausgeführen apt -Befehl auf jedem Debian PC ein beliebiges Kommando als root zur Ausführung unterschieben? [Paranoia an] Da nsx u.a. Wissensbegierig einrichtungen über Jahre hinweg die zentralen internetknoten überwacht haben (und potentiell auch den Datenverkehr manipulieren konnten), ist es denkbar, dass nahezu allen apt-nutzern ein root-kit untergeschoben wurde? [Paranoia aus] ... Ich will nicht trollen, möchte nur die potentielle Reichweite einschätzen. Rootkits würde man nur mittels Neuinstallation weg bekommen; außer das rootkit wurde ins uefi geschrieben. [Paranoia wirklich aus]. ???

albundy
Beiträge: 83
Registriert: 26.08.2009 19:49:12

Re: Sicherheitslücke in apt

Beitrag von albundy » 24.01.2019 18:15:05

Glur hat geschrieben: ↑ zum Beitrag ↑
24.01.2019 18:08:59
albundy hat geschrieben:Wie installiert man eigentlich Windows, wenn es nicht vorinstalliert ist? Ich glaube ich werde alt.
Medium (CD oder USB-Stick) rein, booten, durchklicken, neustarten.... Auch nicht viel schwieriger als ein handelsübliches Linux.
Wann und wo bitte habe ich das denn geschrieben? Zitat falsch gelaufen?

@Glur
Wir auch immer du es geschafft hast, aber du hast mich falsch zitiert. Guck mal:
viewtopic.php?f=1&t=172027&p=1196254&hi ... t#p1196254

Das hatte @uname geschrieben!

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Sicherheitslücke in apt

Beitrag von jph » 24.01.2019 19:25:22

Das Projekt hat m.E. vorbildlich reagiert und ad hoc Debian 9.7 herausgeschoben. Einzige Änderung gegenüber 9.6: gefixtes Debianapt, damit die Installationsimages sauber sind.

Glur
Beiträge: 62
Registriert: 13.10.2017 15:43:09

Re: Sicherheitslücke in apt

Beitrag von Glur » 24.01.2019 21:25:39

Oh ja, da ist wohl irgendwas schief gegangen... Sorry

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: Sicherheitslücke in apt

Beitrag von debianuser4782 » 24.01.2019 22:31:07

MSfree hat geschrieben: ↑ zum Beitrag ↑
24.01.2019 08:44:40
debianuser4782 hat geschrieben: ↑ zum Beitrag ↑
24.01.2019 00:56:39
Nun ist eine Diskussion über https bei apt entfacht.
Zu Verschlüsselung habe ich eine eigene Meinung. Ich halte es in diesem Fall für gefährlich, anzunehmen, daß man mit HTTPS keine Redirects einbauen könnte. Der Fehler wäre durch HTTPS nicht vermeidbar gewesen, er wäre nur dank Verschlüsselung erst viel später aufgefallen und die "bösen Jungs" hätten mehr Zeit gehabt, echten Schaden anzurichten.
Bzw für die Zukunft: Ist hier eine Verwendung von onion-services eine Alternative zu https?
In wiefern schützt TOR vor Redirects? Wie soll HTTPS vor Redirects schützen?
OK, das Redirect-Problem wurde jetzt sowieso geflickt, aber der nächste Fehler lauert bestimmt schon. Meiner Meinung sind HTTPS und TOR nur Security by Obscurity, schützen letzten Endes also nicht. Unverschlüsselte Verbindungen könnte jeder (ganz nach dem Open Source Gedanken) mit einfachsten Mitteln wie tcpdump oder den Logs, die squid produziert, selbst kontrollieren, Verschlüsselung macht das so gut wie unmöglich.

Bitte nicht mißverstehen. Bei meinen Onlinebestellungen möchte ich meine Kreditkartendaten auch nicht unverschlüsselt übertragen wissen.

Onlinebanking betreibe ich sowieso nicht, weil mir bewußt ist, daß man vor allem im Bankensektor mit HTTPS nur Sicherheit vortäuschen will. Die Banken haben eine lange Tradition darin, technische Unzulänglichkeiten juristisch als "sicher" deklarieren zu lassen. Ja, wenn ein Jurist sagt, das ist sicher, dann wird das wohl stimmen. Beispiel?
https://de.wikipedia.org/wiki/Chaos_Com ... b#Btx-Hack
Ja, die Erwägungen leuchten ein.

Wie ich inzwischen herausfinden konnte, ist Diskussionsgegenstand lediglich "https in source.list in Debian per default", da es über das Paket "apt-transport-https" ja schon eine Möglichkeit gibt "https" in der sources.list zu verwenden:

With the apt-transport-https package installed, you can instead use https://... in all of the above lines to use the repositories over encrypted HTTPS connections. https://wiki.debian.org/SourcesList

Anders scheint bei einer über onion-strings torifizierte sources.list kein https vorgesehen zu sein, wie in folgenden Listen [1] und im Thread [2] sowie im wiki [3] zu sehen:
[1]
https://onion.debian.org/
https://onion.torproject.org/
[2]
https://tor.stackexchange.com/questions ... ists-https
[3]
https://wiki.debian.org/SourcesList:

Here is an example sources.list using the onion services for Debian 9/Stretch:

Code: Alles auswählen

deb tor+http://vwakviie2ienjx6t.onion/debian stretch main
deb-src tor+http://vwakviie2ienjx6t.onion/debian stretch main

deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates main
deb-src tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates main

deb tor+http://vwakviie2ienjx6t.onion/debian stretch-updates main
deb-src tor+http://vwakviie2ienjx6t.onion/debian stretch-updates main

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: Sicherheitslücke in apt

Beitrag von tobo » 24.01.2019 23:33:33

debianuser4782 hat geschrieben: ↑ zum Beitrag ↑
24.01.2019 22:31:07
Anders scheint bei einer über onion-strings torifizierte sources.list kein https vorgesehen zu sein, wie in folgenden Listen [1] und im Thread [2] sowie im wiki [3] zu sehen:
...
[2]
https://tor.stackexchange.com/questions ... ists-https
Dann hast du den von dir auf Seite 1 verlinkten Thread aber nur oberflächlich gelesen, genau wie [2], was mit der Thematik überhaupt nicht zu tun hat!? Verbindungen zu Onion Services sind Ende-zu-Ende verschlüsselt.

debianuser4782
Beiträge: 196
Registriert: 11.03.2018 23:09:05

Re: Sicherheitslücke in apt

Beitrag von debianuser4782 » 25.01.2019 00:02:55

tobo hat geschrieben: ↑ zum Beitrag ↑
24.01.2019 23:33:33
debianuser4782 hat geschrieben: ↑ zum Beitrag ↑
24.01.2019 22:31:07
Anders scheint bei einer über onion-strings torifizierte sources.list kein https vorgesehen zu sein, wie in folgenden Listen [1] und im Thread [2] sowie im wiki [3] zu sehen:
...
[2]
https://tor.stackexchange.com/questions ... ists-https
Dann hast du den von dir auf Seite 1 verlinkten Thread aber nur oberflächlich gelesen, genau wie [2], was mit der Thematik überhaupt nicht zu tun hat!? Verbindungen zu Onion Services sind Ende-zu-Ende verschlüsselt.
Ich ging davon aus, man könne onion-services zusätzlich zu https verwenden und dies würde dann entsprechend in der sources.list so abgebildet. Also in etwa: https verschachtelt durch Tor.

Antworten