The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в пакетном менеджере APT, позволяющая обойти проверку пакетов

17.09.2014 22:43

Разработчики Debian и Ubuntu выпустили корректирующее обновление пакетного менеджера APT в котором устранено 4 уязвимости, в результате которых можно обойти процесс проверки целостности и источника пакетов:

  • CVE-2014-0487 - не выполняется перепроверка загруженных файлов, если при запросе с заголовком If-Modified-Since выдаётся ответ http-сервера (304) о неизменности файла;
  • CVE-2014-0490 - не выполняется корректная проверка цифровой подписи, если пакет загружен с использованием команды "apt download";
  • CVE-2014-0488 - данные репозитория не признаются недействительными, если репозиторий переключен из состояния без аутентификации в состояние, требующее аутентификации;
  • CVE-2014-0489 - опция APT Acquire::GzipIndexes (не включена по умолчанию) приводит к пропуску проверки контрольной суммы.


  1. Главная ссылка к новости (https://www.debian.org/securit...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: apt, debian, ubuntu
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, fi (ok), 23:44, 17/09/2014 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    Сурово, после стольких лет развития такие проблемы. Пожелаем удачи!
     
     
  • 2.12, тоже Аноним (ok), 02:09, 18/09/2014 [^] [ответить]    [к модератору]
  • +8 +/
    Остается пожелать всем только таких проблем.
    Для эксплуатации любой из этих уязвимостей нужно иметь права рута в системе. И при этом выполнять нетривиальные действия. Прям-таки решето, что уж там.
     
     
  • 3.18, Аноним (-), 10:56, 18/09/2014 [^] [ответить]    [к модератору]
  • +1 +/
    или иметь рута сервере откуда тянут. дыра в apt download - намекает на это.
     
     
  • 4.19, тоже Аноним (ok), 11:24, 18/09/2014 [^] [ответить]    [к модератору]
  • +1 +/
    Или иметь рута везде и захватить мир.
    Вы лично сколько раз скачивали пакеты apt-ом вместо того, чтобы сразу их установить?
    Мне лично ни разу не доводилось.
     
  • 2.15, unscrubber3 (?), 06:41, 18/09/2014 [^] [ответить]    [к модератору]
  • +1 +/
    вы не потрудились вникнуть, либо у вас мелковиндовая линуксофобия.
    все 4 описаных бага не возникают при обычной эксплуатации (типа поставил через synaptic/другой GUI менеджер из обычного репозитария чегонибудь).
     
  • 2.24, Аноним (-), 22:30, 18/09/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Парни из Linaro были явно не в курсе этих упущений, просто отключив проверку под... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 23:50, 17/09/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Правильнее: "Разработчики Debian выпустили, а разработчики Ubuntu скопировали...".
     
     
  • 2.5, irinat (ok), 00:19, 18/09/2014 [^] [ответить]    [к модератору]  
  • +11 +/
    Хватит уже. Разработчики Debian и Ubuntu — это пересекающиеся множества.
     
     
  • 3.7, Аноним (-), 01:00, 18/09/2014 [^] [ответить]    [к модератору]  
  • –7 +/
    Хватит уже. Разработчики - это Debian. Точка.
     
     
  • 4.11, chinarulezzz (ok), 01:34, 18/09/2014 [^] [ответить]    [к модератору]  
  • +6 +/
    А еще убунту-разработчики коммитят в ядро линукса. И в дебиан патчи присылают https://bugs.debian.org/cgi-bin/pkgreport.cgi?users=ubuntu-devel@lists.ub

    и вообще, как уже сказали: пересекающиеся множества, т.е. не только с дебиана присылают патчи в убунту и наоборот, а одни и те же разработчики и там и там. Так что выкуси аноним)

     
  • 4.25, Аноним (-), 22:31, 18/09/2014 [^] [ответить]    [к модератору]  
  • +/
    > Хватит уже. Разработчики - это Debian. Точка.

    В мире открытых исходников нет жестких границ. Как бы некоторым скудоумым этого ни хотелось.

     
  • 2.10, chinarulezzz (ok), 01:24, 18/09/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    >"Разработчики Debian выпустили, а разработчики Ubuntu скопировали...".

    committers:

    David Kalnischkies <kalnischkies@gmail.com> ( https://launchpad.net/~donkult )
    Marc Deslauriers marc.deslauriers@canonical.com
    Michael Vogt <michael.vogt@ubuntu.com>


    Мухахаха :D

    P.S. Не удивлюсь если сам пишешь не с дебиана, потому как дебиан-сообществу выгодней взаимодействовать с убунту-сообществом.

     
     
  • 3.16, anonymus (?), 09:04, 18/09/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    > P.S. Не удивлюсь если сам пишешь не с дебиана,
    > потому как дебиан-сообществу выгодней взаимодействовать с убунту-сообществом.

    Вы имели в виду с сообществом дистрибутива-которого-нельзя-называть?

     
  • 1.9, Аноним (-), 01:20, 18/09/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как там в Alt-linux ?
     
     
  • 2.13, Michael Shigorin (ok), 03:57, 18/09/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > А как там в Alt-linux ?

    Проверять надо (у нас производное apt 0.5, отличающееся от него крайне сильно) -- а вообще в #12 написана правда, насколько понимаю.

     
  • 1.14, the joker (ok), 06:19, 18/09/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ну что ж, обновимся.
     
  • 1.17, Аноним (-), 09:50, 18/09/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    То есть, эта хрень мало того что непонятно от чего то забывает, ключи подписи пакетов, то вспоминает, так ещё и дырявая?
     
     
  • 2.27, Аноним (-), 22:36, 18/09/2014 [^] [ответить]     [к модератору]  
  • +/
    Машина - не склеротик, если у вас такие плюхи случаются, у вас что-то очень силь... весь текст скрыт [показать]
     
  • 1.20, Аноним (-), 13:19, 18/09/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    в ubuntu 12.10 постоянно выскакивают сообщения что цифровая подпись пакета не прошла валидацию...
     
     
  • 2.23, Fierta (?), 18:32, 18/09/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    А может стоит перестать сидеть на уже не поддерживаемой версии? Это же не LTS.
     
  • 2.26, Аноним (-), 22:32, 18/09/2014 [^] [ответить]    [к модератору]  
  • +/
    > в ubuntu 12.10

    ...сдох ваш бобик. LTS который будет долго поддерживаться - 12.04, а у 12.10 закончилась поддержка.

     
  • 2.29, angra (ok), 23:55, 18/09/2014 [^] [ответить]    [к модератору]  
  • +/
    А еще можно писать всякую херню в консоли и жаловаться, на постоянные надписи 'command not found'. Добавьте ключи от используемых реп через установку keyring пакетов или apt-key add, после чего сделайте apt-get update
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor