forum.opennet.ru

"Уязвимость в пакетном менеджере APT, позволяющая подменить з..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	–4 +/–
Сообщение от Аноним (53), 23-Янв-19, 08:28
Одно дело — развивать независимые проекты, предоставляющие другим приложениям стабильные интерфейсы. Другое — искуственно растаскивать единый функционал между "независимыми" бинарниками, общающимися по проприетарному протоколу, который меняется каждую версию. Последним, кстати, особенно грешат разработчики systemd. Если искуственно разносимый код отвечает за безопасность, то это вообще дикая глупость. > этот обработчик часть пакета Вот о том и речь. Нет никакого смысла запускать его в отдельном процессе, если процесс apt ему полностью доверяет и даёт считать хэш-суммы пакетов. Если бы обработчик действительно был изолированным (а apt сам занимался проверкой целостности), то можно было бы расcчитывать, что при компроментации процесса обработчика, — из-за неверного парсинга или уязвимости в SSL-библиотеке, — apt всё равно отказался бы ставить полученный от него пакет.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в пакетном менеджере APT, позволяющая подменить з..., opennews, 22-Янв-19, 23:23 [смотреть все]

Так так Ну что страдайте апт гетчики , Gagauz, 22-Янв-19, 23:23 (1) //
- Ну поломайте же наконец меня , Michael Shigorin, 22-Янв-19, 23:57 (9) //
  - Нет, Джо , Qwerty, 23-Янв-19, 00:13 (15)
  - А разве у ваших rpm-ок нет своей подписи Не верю rpm еще не пробили , fi, 23-Янв-19, 17:30 (117)
  - Если Вас поломают, Вы об этом можете никогда даже не узнать, будучи гением систе, Аноним, 26-Янв-19, 14:49 (126)
Вроде бы security не обязательно заменять, он не использует CDN и редиректы А в, rm_, 22-Янв-19, 23:34 (3)
Казалось бы, при чем здесь gentoo , Аноняшка, 22-Янв-19, 23:45 (5) //
- Если злоумышленник может сделать MITM, что мешает ему подменить тарбол с исходни, irinat, 23-Янв-19, 01:50 (25) //
  - Хеш тарбола в метаданных portage, очевидно , nE0sIghT, 23-Янв-19, 06:49 (40) //
    - а portage ты через dev astral скопировал, а не открытым протоколом с левого зер, пох, 23-Янв-19, 06:58 (42)
      - Ты не поверишь Добро пожаловать в 2019 год, в котором portage синхронизируется , nE0sIghT, 23-Янв-19, 07:00 (43)
        
        с зеркала А чем это мне поможет , нах, 23-Янв-19, 11:23 (94)
        
        цифровой подписью коммита и хешем этого самого коммита, captcha 20168, 23-Янв-19, 16:33 (116)
        Это же Git с подписью каждого коммита Можно установить автора последнего коммита, nE0sIghT, 23-Янв-19, 18:15 (119)
      - При обновлении portage он точно так же был проверен по хешу как и другие пакеты , Гентушник, 23-Янв-19, 09:43 (59)
        
        Вот на почте болванку и подменили Нет у вас методов против Коли W Почты России , scor, 23-Янв-19, 10:07 (65)
        
        Всё возможно Но в цепочке доверия нужно с чего-то начать У кого-то это сайт htt, Гентушник, 23-Янв-19, 10:24 (71)
        
        у правильной цепочки должно быть не одно возможное начало скачанные с того же са, нах, 23-Янв-19, 11:02 (83)
        
        Самое главное доверие, на котором все держится - это доверие тому что ты нах ник, rshadow, 23-Янв-19, 12:06 (99)
        
        лично ты может и не нужен хотя твои процессорные мощности могут пригодиться пом, нах, 23-Янв-19, 15:55 (112)
        
        Это начало какой то замудерённой сети, а не цепочки ИМХО , Аноним, 23-Янв-19, 12:37 (101)
        Нет Скачанные с какого-нибудь васянского зеркала, по http, через открытый WiFi , Гентушник, 23-Янв-19, 13:44 (107)
        
        по простому никак, но ключи меняются редко и обычно с анонсами, их айдишки должн, нах, 23-Янв-19, 16:05 (113)
        
        Обожаю форумную криптографию Она такая форумная Такая незамутнённая sig, Andrey Mitrofanov, 23-Янв-19, 11:25 (96)
        
        Судя по всему вот они https gentoo osuosl org releases amd64 20160704 , freehck, 23-Янв-19, 13:07 (103)
        
        Ну, вот да-да я знал Вы там средь своих, гентушников, поучите, поучи, Andrey Mitrofanov, 23-Янв-19, 14:15 (110)
        
        Там есть файлы с подписями, но они полезны лишь в случае если у человека есть до, Гентушник, 23-Янв-19, 13:34 (106)
      - https gentoo org support news-items 2018-01-30-portage-rsync-verification html, Я, 23-Янв-19, 23:26 (122)
  - а они что, по сей день не научились подписывать свои ебилды Да ну, не может быт, пох, 23-Янв-19, 06:57 (41) //
    - Ну зачем ты слёзы то лил Ну был же тогда уже emerge-websync с проверкой подписи, nE0sIghT, 23-Янв-19, 08:58 (55)
      - ну как бы костылик наверное уже был его еще, правда, взять откуда-то надо было,, нах, 23-Янв-19, 11:08 (90)
        
        Контрольная сумма для проверки на побитость, а не для верификации , Онанимус, 23-Янв-19, 13:46 (108)
        
        ну да, gzip же ж ее не проверяет, ага Причем, заметьте - неотключаемая , нах, 23-Янв-19, 16:06 (114)
        
        Сидел он, сидел Вот даже в хэндбуке о нём написано было в далёком 2006 году htt, nE0sIghT, 23-Янв-19, 18:32 (120)
    - А тебе повезло, что в 2008 ты не сталкивался с кеширующими проксями, от которых , irinat, 23-Янв-19, 14:14 (109)
pacman -Syyuu It s the best, Simion, 22-Янв-19, 23:47 (7) //
- Арчеводы вообще-то дружно забили на в чём-то перекликающийся баг, которым им кол, Michael Shigorin, 22-Янв-19, 23:59 (10) //
  - К ним хоть зашли А в альт кто-нибудь заходит Или только выходит , Аноним, 23-Янв-19, 00:39 (19) //
    - И хоть в белой шляпе, а не в серой Боюсь, Вам уже или к ослику Иа, или к профиль, Michael Shigorin, 23-Янв-19, 01:22 (21)
Получается обновление apt нужно качать через уязвимый apt , Аноним, 23-Янв-19, 00:04 (12) //
- Зачем Его можно собрать , IdeaFix, 23-Янв-19, 00:07 (14) //
  - Понадобятся шило, ножницы и пластиковая бутылка , анонимус, 23-Янв-19, 00:33 (17) //
    - И фольга , Hz, 23-Янв-19, 04:20 (33)
      - и зажигалка, а ножницы оставьте неумехам - и без них норм , пох, 23-Янв-19, 07:02 (44)
    - За что вы так называете gcc , Аноним, 23-Янв-19, 09:52 (63)
      - Потому что меня от него прёт, Аноним, 23-Янв-19, 18:01 (118)
- Либо настройками запретить переадресацию, либо воспользоваться security through , irinat, 23-Янв-19, 01:57 (26)
- Можно при этом обновлении отключить перенаправления источник уязвимости sudo, Shevchuk, 23-Янв-19, 06:32 (37)
- В новости ведь даже приведён волшебный ключик отключающий уязвимое поведение Де, MrClon, 23-Янв-19, 09:02 (56)
- Кстати, I да I Я тоже там наверху никогда не читаю http www opennet, Andrey Mitrofanov, 23-Янв-19, 10:33 (76)
Опять синдром NIH и кастомные парсеры - в результате грабли А ведь можно было и, Аноним, 23-Янв-19, 02:00 (27) //
- И где Вы весь такой умный были в девяносто-когда-там-апт-делали , Michael Shigorin, 23-Янв-19, 02:05 (28) //
  - Это понятно Однако любителям изобретать свои простые текстовые протоколы стои, Аноним, 23-Янв-19, 02:13 (29) //
    - Это да И заодно - борцам с готовыми библиотеками , Crazy Alex, 23-Янв-19, 04:45 (34)
    - В 90-каком-то году не было json, и только взлетал xml , Ю.Т., 23-Янв-19, 10:11 (67)
  - Подрастает уже которое поколение, для которого написать парсер или язык -- невып, freehck, 23-Янв-19, 11:03 (84) //
    - lex - это мелко Вот flex с состояниями без bison - вот это да , CAE, 23-Янв-19, 11:24 (95)
      - lex -- это название собирательное Их ведь много, и для каждого языка своя , freehck, 23-Янв-19, 13:02 (102)
- Apt писали, когда ни ты ещё не родился, ни JSON ещё не придумали Поэтому, не сп, Аноним, 23-Янв-19, 02:15 (30) //
  - Попробуй потушиться и перечитать, на что отвечаешь TLDR к HTTP претензий нет , Аноним, 23-Янв-19, 02:22 (31)
- Вы так свято верите в непогрешимость сторонних парсеров , YetAnotherOnanym, 23-Янв-19, 02:35 (32) //
  - Они больше на глазах и, как правило, более архитектурно написаны, как и то, чт, Crazy Alex, 23-Янв-19, 04:51 (35) //
    - тысячигласс, да Как правило они overengineered, bloated и вообще не поддаются ан, пох, 23-Янв-19, 07:10 (46)
    - Что,, прям все Как http langsec org проверял Как http langsec org провер, Andrey Mitrofanov, 23-Янв-19, 09:44 (61)
- стесняюсь спросить - а в json парсерах не правят раз в месяц очередное ой мы об, пох, 23-Янв-19, 07:06 (45)
- Вот только баг в данном случае не в парсере, а в генераторе Если бы JSON формир, sigprof, 23-Янв-19, 08:42 (54) //
  - Хотя разлёт обобряю I , Andrey Mitrofanov, 23-Янв-19, 09:45 (62)
Зачем тогда было выносить обработчик транспорта в отдельный процесс Зачем общ, Аноним, 23-Янв-19, 06:02 (36) //
- unixway, не, не слышали давайте запилим уже systemd-aptd, ага С бинарным проток, пох, 23-Янв-19, 07:14 (47) //
  - Одно дело 8212 развивать независимые проекты, предоставляющие другим приложен , Аноним, 23-Янв-19, 08:28 (53) //
    - в каком месте fileutils, к примеру - независимые проекты А если вы опоздали р, нах, 23-Янв-19, 11:19 (93)
    - О, а покажите-ка список того, что Вы _уже_ наархитектурили и взлетело А то в, Michael Shigorin, 23-Янв-19, 13:29 (105)
Как можно проверить в куче установленных апт ориентированных дистрибутивов, что , Аноним, 23-Янв-19, 06:44 (39) //
- Развернуть рядом точно такую же систему с такими же пакетами и версиями список , Гентушник, 23-Янв-19, 11:06 (87) //
  - И обязательно ч-з нескомпрометированный этими пра-а-ативными MITM-ами Интернет , Andrey Mitrofanov, 23-Янв-19, 11:31 (97)
  - Как развернуть такую точно такую же систему с такими же пакетами и версиями , Аноним, 24-Сен-19, 15:41 (127) //
    - Готового рецепта не знаю Список пакетов с версиями можно вывести через dpkg-quer, Гентушник, 24-Сен-19, 18:39 (128)
Для Debian есть прямой workaround, настолько прямой, что меня Debian GNU Linux , odd.mean, 23-Янв-19, 07:19 (48) //
- А если подключены ещё пара реп, которые в тор никто не додумался закинуть Вот ст, ryoken, 23-Янв-19, 07:47 (50)
- , что он написан в новости наверху, он написан в DSA-, он ПРЯМООООЙ , Andrey Mitrofanov, 23-Янв-19, 10:31 (75) //
  - Гм Обновил в своём Devuan ASCII 2 0 Так как все пара-другая, потом бросил по, Andrey Mitrofanov, 23-Янв-19, 11:11 (91)
- Если там какой нить баг окажется, то и следов кто тебе напихал не найти , rshadow, 23-Янв-19, 12:31 (100) //
  - ну как будто ты найдешь следы кто поломал какой-нибудь левый репо давно забытый , нах, 23-Янв-19, 16:08 (115)
И АНБ вот уже сколько лет ломает всех, кто это юзает Скажите спасибо Дебиану за, Аноним, 23-Янв-19, 09:24 (57)
Соединяюсь с репами по HTTPS и мои волосы мягкие и шелковистые , Аноним, 23-Янв-19, 10:19 (70) //
- Какой попсовый анон нонче пошел Ссаными тапками по лицу автору новости Соединяе, Аноним, 23-Янв-19, 11:03 (85)
Кто-то тут позавчера бил себя пяткой в грудь и кричал что в стабильном релизе не, Аноним, 23-Янв-19, 10:26 (72) //
- Потому что их _исправляют_ Иди туда-вчера и прочитай, что там-тогда написано , Andrey Mitrofanov, 23-Янв-19, 10:36 (77) //
  - Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исп, Аноним, 23-Янв-19, 10:42 (78) //
    - А ещё майнтейнер systemd временно отстранился от майнтенинга этого пакета, так ч, Аноним, 23-Янв-19, 10:51 (79)
      - Надо уточнять что именно в дебиан , Цирк без коней, 23-Янв-19, 11:04 (86)
        
        Надо еще уточнять что один из нескольких мантейнеров , Аноним, 23-Янв-19, 11:18 (92)
    - Да-да Мы так и поверили , Аноним, 23-Янв-19, 10:58 (81)
    - Пройдите на https www debian org security https lists debian org debia, Andrey Mitrofanov, 23-Янв-19, 10:59 (82)
    - Любите опасность , Цирк без коней, 23-Янв-19, 11:07 (88)
    - Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы ис, Цирк без коней, 23-Янв-19, 11:07 (89)
- Кто тебе куда бил Иди регрессию после очередного обновления systemd исправляй, , Аноним, 23-Янв-19, 10:58 (80) //
  - а зачем ее исправлять У полутора пользователей, вздумавших, вот поганцы, лучше , дебилиан, 23-Янв-19, 11:50 (98)
Очередная дырка в Дебиане, всегда проигрываю , Аноним, 23-Янв-19, 15:50 (111)
Спасибо исследователю безопасности Max y, jalavan, 23-Янв-19, 21:42 (121)
глаза откройте, у кого они еще есть Уязвимость устранена в v 1 4 9 Для Debian , su, 24-Янв-19, 11:20 (123)
Поясните далекому от всего этого http Почему вообще свойства транспорта как-то , Анонымоус, 24-Янв-19, 21:24 (124) //
- Там проблема не в транспорте а в обработчиках и архитектуре апта Из-за ошибки в, Аноним, 25-Янв-19, 15:33 (125)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру