The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +/
Сообщение от opennews (ok) on 17-Сен-14, 23:44 
Разработчики Debian (https://www.debian.org/security/2014/dsa-3025) и Ubuntu (http://www.ubuntu.com/usn/usn-2348-1/) выпустили корректирующее обновление пакетного менеджера APT в котором устранено 4 уязвимости, в результате которых можно обойти процесс проверки целостности и источника пакетов:


-  CVE-2014-0487 - не выполняется перепроверка загруженных файлов, если при запросе с заголовком If-Modified-Since выдаётся ответ http-сервера (304) о неизменности файла;

-  CVE-2014-0490 - не выполняется корректная проверка цифровой подписи, если пакет загружен с использованием команды "apt download";
-  CVE-2014-0488 - данные репозитория не признаются недействительными, если репозиторий переключен из состояния без аутентификации в состояние, требующее аутентификации;
-  CVE-2014-0489 - опция APT Acquire::GzipIndexes (не включена по умолчанию) приводит к пропуску проверки контрольной суммы.


URL: https://www.debian.org/security/2014/dsa-3025
Новость: https://www.opennet.ru/opennews/art.shtml?num=40620

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  –2 +/
Сообщение от fi (ok) on 17-Сен-14, 23:44 
Сурово, после стольких лет развития такие проблемы. Пожелаем удачи!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +8 +/
Сообщение от тоже Аноним email(ok) on 18-Сен-14, 02:09 
Остается пожелать всем только таких проблем.
Для эксплуатации любой из этих уязвимостей нужно иметь права рута в системе. И при этом выполнять нетривиальные действия. Прям-таки решето, что уж там.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +1 +/
Сообщение от Аноним (??) on 18-Сен-14, 10:56 
или иметь рута сервере откуда тянут. дыра в apt download - намекает на это.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +1 +/
Сообщение от тоже Аноним email(ok) on 18-Сен-14, 11:24 
Или иметь рута везде и захватить мир.
Вы лично сколько раз скачивали пакеты apt-ом вместо того, чтобы сразу их установить?
Мне лично ни разу не доводилось.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +1 +/
Сообщение от unscrubber3 on 18-Сен-14, 06:41 
вы не потрудились вникнуть, либо у вас мелковиндовая линуксофобия.
все 4 описаных бага не возникают при обычной эксплуатации (типа поставил через synaptic/другой GUI менеджер из обычного репозитария чегонибудь).
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +1 +/
Сообщение от Аноним (??) on 18-Сен-14, 22:30 
>  Сурово, после стольких лет развития такие проблемы. Пожелаем удачи!

Парни из Linaro были явно не в курсе этих упущений, просто отключив проверку подписей в раздаваемом ими образе rootfs убунты и прописав свой реп.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  –2 +/
Сообщение от Аноним (??) on 17-Сен-14, 23:50 
Правильнее: "Разработчики Debian выпустили, а разработчики Ubuntu скопировали...".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +11 +/
Сообщение от irinat (ok) on 18-Сен-14, 00:19 
Хватит уже. Разработчики Debian и Ubuntu — это пересекающиеся множества.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  –7 +/
Сообщение от Аноним (??) on 18-Сен-14, 01:00 
Хватит уже. Разработчики - это Debian. Точка.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +6 +/
Сообщение от chinarulezzz (ok) on 18-Сен-14, 01:34 
А еще убунту-разработчики коммитят в ядро линукса. И в дебиан патчи присылают https://bugs.debian.org/cgi-bin/pkgreport.cgi?users=ubuntu-d...

и вообще, как уже сказали: пересекающиеся множества, т.е. не только с дебиана присылают патчи в убунту и наоборот, а одни и те же разработчики и там и там. Так что выкуси аноним)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

25. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +/
Сообщение от Аноним (??) on 18-Сен-14, 22:31 
> Хватит уже. Разработчики - это Debian. Точка.

В мире открытых исходников нет жестких границ. Как бы некоторым скудоумым этого ни хотелось.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +3 +/
Сообщение от chinarulezzz (ok) on 18-Сен-14, 01:24 
>"Разработчики Debian выпустили, а разработчики Ubuntu скопировали...".

committers:

David Kalnischkies <kalnischkies@gmail.com> ( https://launchpad.net/~donkult )
Marc Deslauriers marc.deslauriers@canonical.com
Michael Vogt <michael.vogt@ubuntu.com>


Мухахаха :D

P.S. Не удивлюсь если сам пишешь не с дебиана, потому как дебиан-сообществу выгодней взаимодействовать с убунту-сообществом.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

16. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  –2 +/
Сообщение от anonymus on 18-Сен-14, 09:04 
> P.S. Не удивлюсь если сам пишешь не с дебиана,
> потому как дебиан-сообществу выгодней взаимодействовать с убунту-сообществом.

Вы имели в виду с сообществом дистрибутива-которого-нельзя-называть?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +/
Сообщение от Аноним (??) on 18-Сен-14, 01:20 
А как там в Alt-linux ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 18-Сен-14, 03:57 
> А как там в Alt-linux ?

Проверять надо (у нас производное apt 0.5, отличающееся от него крайне сильно) -- а вообще в #12 написана правда, насколько понимаю.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +1 +/
Сообщение от the joker (ok) on 18-Сен-14, 06:19 
Ну что ж, обновимся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  –1 +/
Сообщение от Аноним (??) on 18-Сен-14, 09:50 
То есть, эта хрень мало того что непонятно от чего то забывает, ключи подписи пакетов, то вспоминает, так ещё и дырявая?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +/
Сообщение от Аноним (??) on 18-Сен-14, 22:36 
> То есть, эта хрень мало того что непонятно от чего то забывает,
> ключи подписи пакетов,

Машина - не склеротик, если у вас такие плюхи случаются, у вас что-то очень сильно поломано в вашей системе на самых базовых уровнях работы системы.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +/
Сообщение от Аноним (??) on 18-Сен-14, 13:19 
в ubuntu 12.10 постоянно выскакивают сообщения что цифровая подпись пакета не прошла валидацию...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +1 +/
Сообщение от Fierta on 18-Сен-14, 18:32 
А может стоит перестать сидеть на уже не поддерживаемой версии? Это же не LTS.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +/
Сообщение от Аноним (??) on 18-Сен-14, 22:32 
> в ubuntu 12.10

...сдох ваш бобик. LTS который будет долго поддерживаться - 12.04, а у 12.10 закончилась поддержка.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."  +/
Сообщение от angra (ok) on 18-Сен-14, 23:55 
А еще можно писать всякую херню в консоли и жаловаться, на постоянные надписи 'command not found'. Добавьте ключи от используемых реп через установку keyring пакетов или apt-key add, после чего сделайте apt-get update
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру