The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.08.2018 18:30  Уязвимость в пакетном менеджере APT, проявляющаяся в конфигурациях с зеркалами

В пакетном менеджере APT выявлена уязвимость (CVE-2018-0501) в реализации метода "mirror://", позволяющая обойти проверку пакета по цифровой подписи. При использовании конфигурации с зеркалами (протокол mirror:// в sources.list) атакующий, контролирующий трафик (MiTM), может спровоцировать ситуацию в которой проверка подписи файла InRelease производится некорректно, что может использоваться для подмены содержимого пакетов. Проблема проявляется в ветках 1.6.x и 1.7.x и устранена в выпусках 1.6.3ubuntu0.1, 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian и Ubuntu.

  1. Главная ссылка к новости (https://mirror.fail/...)
  2. OpenNews: Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu
  3. OpenNews: В пакетном менеджере RPM устранена опасная уязвимость
  4. OpenNews: В пакетном менеджере APT выявлена новая уязвимость
  5. OpenNews: Уязвимость в пакетном менеджере APT, позволяющая обойти проверку пакетов
  6. OpenNews: Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
Автор новости: Аноним
Тип: Проблемы безопасности
Ключевые слова: apt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноняшка (?), 21:11, 22/08/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    sudo grep -Hir "mirror" /etc/apt
    это поможет?
    вроде пусто
     
  • 1.3, Аноним (3), 21:44, 22/08/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    > протокол mirror:// в sources.list

    А как этим пользоваться? В первый раз о нём слышу.

     
     
  • 2.4, Аноним (4), 21:49, 22/08/2018 [^] [ответить]    [к модератору]
  • +/
    вот-вот, я тоже ни разу этим функционалом не пользовался %/
     
     
  • 3.7, Аноним (7), 22:06, 22/08/2018 [^] [ответить]    [к модератору]
  • +/
    На ваше счастье дефолтную конфигурацию не пробирает, только тех немногих кто почитал описание и настроил.
     
     
  • 4.62, Sunch (?), 09:17, 25/08/2018 [^] [ответить]    [к модератору]
  • +/
    Читать доки - вредно!
     
  • 1.5, Аноняшка (?), 21:59, 22/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Главный вопрос; а каким скриптиком / батником /экзэшником проверить теперь свои /usr/bin/*, на соответствие цифровым подписям в репозитории? Так, на всякий случай...
     
     
  • 2.6, Аноним (7), 22:05, 22/08/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Debsums Не совсем подписи, но все же Однако проверять что либо на системе кото... весь текст скрыт [показать]
     
     
  • 3.12, Аноняшка (?), 22:14, 22/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Нет смысла Debsums сверяет с локальным хранилищем хэшей, DESCRIPTION ... весь текст скрыт [показать]
     
     
  • 4.20, Аноним (4), 00:21, 23/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Потому что в свете тотального применения цифровых подписей и хэш-сумм в репозиториях APT, использовать SSL/TLS - дикий перегиб.
     
     
  • 5.25, JL2001 (ok), 09:22, 23/08/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    это пока к вам не придут с распечаткой что вы с того сервера качали nmap и прочи... весь текст скрыт [показать]
     
     
  • 6.33, Аноним (-), 17:01, 23/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну тогда вообще apt-transport-tor поставить - атакующие даже не поймут что это дебиан был, а не федора какая-нибудь например. Пусть ломают наобум как нечто неизвестное.
     
     
  • 7.51, ЕкарныйБабай (?), 16:23, 24/08/2018 [^] [ответить]    [к модератору]  
  • +/
    В Fedora тоже можно настроить связку dnf с tor.
     
     
  • 8.58, Аноним (-), 21:14, 24/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    У дебиана есть официальный onion с пакетами, если что Установив apt-transport-t... весь текст скрыт [показать]
     
  • 6.41, Вопрошающий (?), 19:56, 23/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Если они уголовно наказуемые, то почему владельцев серверов не посадили на пожизненное?
     
     
  • 7.44, JL2001 (ok), 02:26, 24/08/2018 [^] [ответить]     [к модератору]  
  • +/
    сервера не обязаны находиться в той же стране даже если эта страна за великим ф... весь текст скрыт [показать]
     
  • 4.32, Аноним (-), 16:59, 23/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Вы и подписи будете на локальном компьютере проверять, относительно локального х... весь текст скрыт [показать]
     
  • 2.8, EuPhobos (ok), 22:07, 22/08/2018 [^] [ответить]    [к модератору]  
  • –20 +/
    debootstrap+rsync/md5sum
    А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось.
     
     
  • 3.10, Парам (?), 22:08, 22/08/2018 [^] [ответить]    [к модератору]  
  • +11 +/
    >А вообще rkhunter надо ставить, и убирать автообновление базы после apt, что бы быть в курсе что поменялось.

    Обалденный совет, как раз заслуживает дислайка.

     
  • 3.18, Аноним (18), 23:57, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Совет многолетнего мамкиного распидяя.
     
  • 3.37, Аноним (-), 17:12, 23/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Можно и иные варианты придумать, достаточно неожиданные и неудобные для хакеров ... весь текст скрыт [показать]
     
  • 1.9, Кат (?), 22:07, 22/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Буква S в слове Linux означает Security.
     
     
  • 2.11, A.Stahl (ok), 22:12, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Нет, она означает Reißschiene.
     
     
  • 3.13, Фуррь (ok), 22:18, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >Reißschiene

    Просто мимо проходил - что это за слово? Сколько учу, пока не встречал, по составным словам толком не разбить, а ГугльТранслейт пишет какую-то муть.

     
     
  • 4.14, Лёшка (?), 22:24, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Гуглить не пробовал?

    https://ru.m.wikipedia.org/wiki/Рейсшина

     
     
  • 5.15, Фуррь (ok), 22:29, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >Гуглить не пробовал?

    Это не по-спортивному.
    Благодарю :3

     
  • 4.17, тот самый Аноним (?), 23:51, 22/08/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Не, ну по составным разбить можно Rei 223 - составное срывать, вырывать, выд... весь текст скрыт [показать]
     
  • 2.21, Отражение луны (ok), 04:01, 23/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Из того, что есть на рынке - самое секьюрное. Абсолютная безопасность - миф, вера в который делает ситуацию еще хуже. Не советую.
     
  • 2.22, Скат (?), 05:34, 23/08/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    Если нужна секурность используют флатпаки. В apt разработчики дистрибутива или кто их взломал могут подсунуть малварь и нужны права рута для установки.
     
     
  • 3.23, ЕкарныйБабай (?), 06:22, 23/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну засунь во flatpak postgresql, exim/postfix, docker/kvm. После этого нам об успехе расскажи)

    Ты хоть почитай Алекса (разработчик flatpak) для чего он его разработал, какова его сфера применения.

     
     
  • 4.26, linvinus (?), 09:53, 23/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    может кому ещё интересно будет https flatpak org faq Is Flatpak a container t... весь текст скрыт [показать]
     
     
  • 5.27, ЕкарныйБабай (?), 10:02, 23/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Я об этом и говорю, что flatpak не панацея от вирусов, так как есть вероятность ... весь текст скрыт [показать]
     
     
  • 6.35, Аноним (-), 17:07, 23/08/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Более того она вредна, поскольку заменяет майнтайнеров с конкретными политиками ... весь текст скрыт [показать]
     
     
  • 7.46, Отражение луны (ok), 03:55, 24/08/2018 [^] [ответить]     [к модератору]  
  • +/
    В твоей логике есть проблема Все дело в том, что мейнтеры понятия не имеют, как... весь текст скрыт [показать]
     
     
  • 8.49, ЕкарныйБабай (?), 05:16, 24/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Связанных с процессором уязвимости решаются патчами ядра и обновлением микрокода... весь текст скрыт [показать]
     
     
  • 9.50, Отражение луны (ok), 16:21, 24/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Есть как минимум ряд уязвимостей, который решается обновлением компилятора, вклю... весь текст скрыт [показать]
     
     
  • 10.55, Аноним (55), 20:30, 24/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Однако если резко пересобрать всю систему от и до - есть вероятность, что в комп... весь текст скрыт [показать]
     
     
  • 11.59, Отражение луны (ok), 23:14, 24/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Мне без разницы на твои детские максималистичные выпады 10ка работает хреново ... весь текст скрыт [показать]
     
     
  • 12.63, пох (?), 17:00, 25/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    вы в зеркало-то пробовали смотреться Или так, отражаетесь Вам - аргументы Вы ... весь текст скрыт [показать]
     
  • 8.54, Аноним (-), 20:18, 24/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Нет, дружок, я еще и ченджлоги к пакетам читаю И поэтому получше тебя представл... весь текст скрыт [показать]
     
     
  • 9.64, пох (?), 17:05, 25/08/2018 [^] [ответить]     [к модератору]  
  • +/
    прям ко всем Ну прочитайте их ченджлог к ядру и к glibc, потом возвращайтесь, п... весь текст скрыт [показать]
     
  • 3.34, Аноним (-), 17:05, 23/08/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Не, не так Кто хочет засрать линух до состояния винды, с сотнями не поддерживае... весь текст скрыт [показать]
     
     
  • 4.43, дядя Аноним (?), 00:44, 24/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Это скорее похоже на Android чем на винду. Винда просит много зависимостей и программы не изолированы. Здесь же программы не имеют доступа к системе и дырявые либы ничего тебе не сделают.
     
     
  • 5.45, Аноним (-), 03:14, 24/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Да один фиг по большому счету Где это сказано А то вон там в цитате сказано чт... весь текст скрыт [показать]
     
     
  • 6.47, Отражение луны (ok), 04:02, 24/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Не один фиг Андроид секьюрен настолько, насколько это в принципе возможно Ана... весь текст скрыт [показать]
     
     
  • 7.56, Аноним (56), 20:49, 24/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Однако как работает дебиан нравится мне гораздо больше В дебиане я ощущаю себя ... весь текст скрыт [показать]
     
     
  • 8.60, Отражение луны (ok), 23:20, 24/08/2018 [^] [ответить]    [к модератору]  
  • +/
    В отличие от Вас я куда более спокоен на тему записей моих экранов и прочей слежкой внутри самого приложения. Проблема сильно преувеличена и по факту не наносит мне никакого вреда, для меня главное, чтобы приложения не читали данные, которые читать им не следует. Я так же понимаю, что данные моих перемещений и покупок публичны как бы я ни старался их скрыть, за счет камер, свидетелей, оплаты покупок и прочих вещей. Поэтому я просто не разрешаю приложениям доступ к фс, и вполне доволен.
     
     
  • 9.61, Аноним (-), 01:17, 25/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Да кому-то и кандалы на ногах не очень мешают, но тогда разглагольствованиям про... весь текст скрыт [показать]
     
  • 8.65, Аноним (65), 15:21, 27/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Потому что я подумал "а как бы я это ломал?". И сделал так чтобы это было как можно канительнее и ненадежнее

    Какое незамутненное самодовольство …

     
  • 3.38, Michael Shigorin (ok), 18:27, 23/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    И почему некомпетентные бывают столь уверены... или они потому и некомпетентными не просто становятся, а остаются?
     
     
  • 4.48, Отражение луны (ok), 04:04, 24/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты то у нас светило. Ой, кажись, все-таки нет.
     
  • 1.28, Andrey Mitrofanov (?), 10:12, 23/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >Проблема
    > проявляется в ветках 1.6.x и 1.7.x

    Это buster aka testing и experimental-даже-не-sid в Debian-е.

    Спим дальше!

    >и устранена в выпусках 1.6.3ubuntu0.1,
    > 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian

     
     
  • 2.31, Гентушник (ok), 14:11, 23/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > OS releases: Debian testing/unstable, experimental; Ubuntu 18.04, cosmic

    Ну что-ж. Пользователям Убунты можно сказать спасибо. Приняли на себя первый удар.
    А до Debian stable проблема так и не дошла, можно спать спокойно.

     
     
  • 3.42, Аноним (42), 20:26, 23/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Нам тут вообще мягко и шелковисто.

    https://linux.pictures/projects/debian-stable-jpg

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor