The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В пакетном менеджере RPM устранена опасная уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от opennews (??) on 12-Дек-14, 10:04 
Компания Red Hat сообщила (https://securityblog.redhat.com/2014/12/10/analysis-of-the-c.../) об обнаружении в пакетном менеджере RPM опасных уязвимостей (CVE-2013-6435, CVE-2014-8118 (https://rhn.redhat.com/errata/RHSA-2014-1976.html)), позволяющих добиться выполнения кода злоумышленника при установке специально модифицированного пакета.  Проблема усугубляется тем, что в процессе установки система верификации не выявляет модификации в архиве с мета-данными, т.е. злоумышленник может изменить корректно подписанный пакет.

Изменения вносятся в архив с метаданными, содержащими информацию о версии, описание и другую сопутствующую информацию. Данные из архива распаковывается в отдельную директорию с временным именем. Проверка цифровой подписи осуществляется после полного завершения записи временного файла. Если подпись корректна, файл переименовывается в его реальное имя. При определённых обстоятельствах (CVE-2013-6435) в результате состояния гонки система может интерпретировать неверифицированный временный файл  и выполнить указанные в нём команды (например, временный файл в /etc/cron.d  может подхватить cron). Вторая уязвимость (CVE-2014-8118) проявляется из-за переполнения буфера в процессе обработки модифицированного заголовка архива CPIO, что также может быть использовано для выполнения кода атакующего при распаковке изменённых подписанных пакетов.

В качестве защиты от уязвимостей рекомендуется проверить цифровую подпись пакета до начала его установки. Уязвимости в основном представляют опасность при установке пакетов из сторонних источников, так как при прямой установке из штатных репозиториев RHEL и Fedora применяется шифрование TLS, которое защищает от подмены транзитного трафика. Обновления с устранением уязвимостей выпущены для RHEL (https://rhn.redhat.com/errata/RHSA-2014-1976.html)  (5.x (https://rhn.redhat.com/errata/RHSA-2014-1974.html), 6.x (https://rhn.redhat.com/errata/RHSA-2014-1975.html) и 7.x (https://rhn.redhat.com/errata/RHSA-2014-1976.html)) и CentOS (http://lists.centos.org/pipermail/centos-announce/2014-Decem...).  Для Fedora (https://admin.fedoraproject.org/updates/F21/security), SUSE (https://www.suse.com/support/update/) и openSUSE (http://lists.opensuse.org/opensuse-security-announce/2014-12/) обновление пока недоступно.

URL: https://securityblog.redhat.com/2014/12/10/analysis-of-the-c.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=41250

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В пакетном менеджере RPM устранена опасная уязвимость"  –4 +/
Сообщение от Аноним (??) on 12-Дек-14, 10:04 
> злоумышленник может изменить корректно подписанный пакет.

Энтерпрайзный обcирак, как положено - "хренсгоры может на ровном месте поиметь весь ваш энтерпрайз" :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В пакетном менеджере RPM устранена опасная уязвимость"  –2 +/
Сообщение от ALex_hha (??) on 12-Дек-14, 10:38 
>> злоумышленник может изменить корректно подписанный пакет.
> Энтерпрайзный обcирак, как положено - "хренсгоры может на ровном месте поиметь весь
> ваш энтерпрайз" :)

а нефиг ставить пакеты не пойми откуда, тогда и проблем не будет. И неожиданно ынтерпрайз оказывается тут не при чем :) А если уж и ставишь с репозитария Дядюшки Ляо, так сам себе буратино


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "В пакетном менеджере RPM устранена опасная уязвимость"  –2 +/
Сообщение от arisu (ok) on 12-Дек-14, 11:08 
> а нефиг ставить пакеты не пойми откуда, тогда и проблем не будет.

ты только что одним махом обозвал всех, кто чинит уязвимости, дебилами. ты мегакрут.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "В пакетном менеджере RPM устранена опасная уязвимость"  –1 +/
Сообщение от EHLO on 12-Дек-14, 12:01 
>>> злоумышленник может изменить корректно подписанный пакет.
>> Энтерпрайзный обcирак, как положено - "хренсгоры может на ровном месте поиметь весь
>> ваш энтерпрайз" :)
> а нефиг ставить пакеты не пойми откуда, тогда и проблем не будет.
> И неожиданно ынтерпрайз оказывается тут не при чем :) А если
> уж и ставишь с репозитария Дядюшки Ляо, так сам себе буратино

Как ты проверишь что адрес http://mirror.centos.org приведет тебя не к Дяде?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от ALex_hha (??) on 12-Дек-14, 14:03 
> Как ты проверишь что адрес http://mirror.centos.org приведет тебя не к Дяде?

речь вроде шла об Ынтерпрайз, т.е. RHEL, а у них там подписка и просто так левое зеркало тебе никогда не дадут ;)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от EHLO on 12-Дек-14, 14:40 
>> Как ты проверишь что адрес http://mirror.centos.org приведет тебя не к Дяде?
> речь вроде шла об Ынтерпрайз, т.е. RHEL, а у них там подписка

Скажу по секрету, Центось второй после Дебиана серверный дистрибутив в продакшне(по крайней мере в вэбе) по маркетшаре. Был раньше, до 7 версии конечно.

> и просто так левое зеркало тебе никогда не дадут ;)

MITM?
DNS cache poisoning?
Не, не слышал.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 12-Дек-14, 14:48 
> и просто так левое зеркало тебе никогда не дадут ;)

А хакирь на проводе или роутере может быть и не в курсе таких допущений.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 12-Дек-14, 14:44 
> а нефиг ставить пакеты не пойми откуда,

Так соль в том что даже в пакетах с правильной подписью можно получить черти-что и это черти-что выполнится. Нормальный такой remote code execution.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

16. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 12-Дек-14, 14:50 
> а нефиг ставить пакеты не пойми откуда, тогда и проблем не будет.

Так это, проверка подписи пакета - это то что дает уверенность в том что это не фиг знает что, непойми откуда, а легитимный пакет от его авторов. А тут вдруг раз - и из пакета что-то выполняется ДО того как проверена подпись. EPIC FAIL.

> уж и ставишь с репозитария Дядюшки Ляо, так сам себе буратино

Как бы я не могу контролировать весь путь полета пакетов по сети от меня до серверов репки. На этом пути может оказаться кто-то недружелюбный. Так, потенциально.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 12-Дек-14, 10:06 
> применяется шифрование TLS, которое защищает от подмены транзитного трафика.

Ну конечно. А скольким ауторити по дефолту доверяет эта либа? В смысле, сколько народа может сертификат на "а я типа тоже сервер рхел" выписать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от Stax (ok) on 12-Дек-14, 14:54 
> Ну конечно. А скольким ауторити по дефолту доверяет эта либа? В смысле, сколько народа может сертификат на "а я типа тоже сервер рхел" выписать?

Fedora uses a whole-file hash chain rooted in a hash downloaded over TLS/SSL from a Fedora-run central server.

Вообще, в силу особенностей уязвимости файлы с официальных реп, когда их скачивают yum'ом ей не подвержены. А вот если кто-то вначале скачает по http, а потом поставит - даже через yum localinstall - теоретически можно нарваться

Вообще баги интересные. И даже понятно, почему rpm так делает - вначале распаковывает файлы как временные, потом считает контрольные суммы. Когда-то (давно) двухпроходная распаковка - один раз для контрольных сумм, второй раз уже чтобы реально ставить - была непозволительной роскошью (во времена, когда с CD ставили); а с тех пор механизм подсчета контрольных сумм стал более гибким, например временно "откатывающий" изменения из-за prelink перед подсчетом, и иметь два совершенно разных способа подсчета, один для установленных файлов, а другой "виртуально" по файлам в памяти тоже было бы черевато ошибкой.

Идеальным бы решением было бы, наверное, распаковка в какой-нибудь /tmp с проверкой там и последующим копированием в фс - но файлы нынче в пакетах большие, а tmp все чаще в оперативке.. В общем, тоже не слишком удобно. Но, кстати, (вроде) виндовый инсталлятор так делает. И ничего, пользователи как-то переживают.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

19. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от arisu (ok) on 12-Дек-14, 14:58 
и ведь казалось бы, всего-то дел: взять, да и подписать уже созданый архив. и распаковывать ничего не надо, и ЩАСТЬЕ. но это слишком лёгкий путь, так неинтересно.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от EHLO on 12-Дек-14, 15:22 
>И даже понятно, почему rpm так делает

Да не, Леннарт в те годы еще пешком под стол ходил.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

4. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от PnDx (ok) on 12-Дек-14, 10:42 
Что-то ходжу Насреддина вспомнил. Таракана нужно поймать и насыпать инсектицид на хвост. Ну, в смысле, бомбануть репозиторий и засунуть свой "патч".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В пакетном менеджере RPM устранена опасная уязвимость"  –5 +/
Сообщение от iZEN (ok) on 12-Дек-14, 10:54 
Просто нужно использовать подписанный JAR, как в энтерпрайзной Java.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В пакетном менеджере RPM устранена опасная уязвимость"  –1 +/
Сообщение от Аноним (??) on 12-Дек-14, 11:29 
Подписывать любишь? А, ну да, у тебя же загрузчик вантуза тоже подписан.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "В пакетном менеджере RPM устранена опасная уязвимость"  +1 +/
Сообщение от имя on 12-Дек-14, 12:29 
Что-то я не видел, чтобы чуваки из FreeBSD распространяли sendmail в JAR-ах.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 12-Дек-14, 14:46 
> Просто нужно использовать подписанный JAR

У них RPM подписан, но им это не помогло: эти таланты умудрились запускать некоторые скрипты раньше чем закончится проверка подписи. Круто придумано :).

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "В пакетном менеджере RPM устранена опасная уязвимость"  +/
Сообщение от Stax (ok) on 12-Дек-14, 14:56 
>> Просто нужно использовать подписанный JAR
> У них RPM подписан, но им это не помогло: эти таланты умудрились
> запускать некоторые скрипты раньше чем закончится проверка подписи. Круто придумано :).

Ну запускали не они, а cron. Который, как бы, работает независимо.. Они в блоге пишут про API, который позволяет положить файл так, чтобы его никто не видел (флаг O_TMPFILE), но нужно ядро новее, чем в EL7 и сам распоследний glibc, которого тоже там нет.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру