The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.12.2014 09:10  В пакетном менеджере RPM устранена опасная уязвимость

Компания Red Hat сообщила об обнаружении в пакетном менеджере RPM опасных уязвимостей (CVE-2013-6435, CVE-2014-8118), позволяющих добиться выполнения кода злоумышленника при установке специально модифицированного пакета. Проблема усугубляется тем, что в процессе установки система верификации не выявляет модификации в архиве с мета-данными, т.е. злоумышленник может изменить корректно подписанный пакет.

Изменения вносятся в архив с метаданными, содержащими информацию о версии, описание и другую сопутствующую информацию. Данные из архива распаковывается в отдельную директорию с временным именем. Проверка цифровой подписи осуществляется после полного завершения записи временного файла. Если подпись корректна, файл переименовывается в его реальное имя. При определённых обстоятельствах (CVE-2013-6435) в результате состояния гонки система может интерпретировать неверифицированный временный файл и выполнить указанные в нём команды (например, временный файл в /etc/cron.d может подхватить cron). Вторая уязвимость (CVE-2014-8118) проявляется из-за переполнения буфера в процессе обработки модифицированного заголовка архива CPIO, что также может быть использовано для выполнения кода атакующего при распаковке изменённых подписанных пакетов.

В качестве защиты от уязвимостей рекомендуется проверить цифровую подпись пакета до начала его установки. Уязвимости в основном представляют опасность при установке пакетов из сторонних источников, так как при прямой установке из штатных репозиториев RHEL и Fedora применяется шифрование TLS, которое защищает от подмены транзитного трафика. Обновления с устранением уязвимостей выпущены для RHEL (5.x, 6.x и 7.x) и CentOS. Для Fedora, SUSE и openSUSE обновление пока недоступно.

  1. Главная ссылка к новости (https://securityblog.redhat.co...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rpm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:04, 12/12/2014 [ответить] [смотреть все]     [к модератору]
  • –4 +/
    Энтерпрайзный обcирак, как положено - хренсгоры может на ровном месте поиметь в... весь текст скрыт [показать]
     
     
  • 2.3, ALex_hha, 10:38, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    >> злоумышленник может изменить корректно подписанный пакет.
    > Энтерпрайзный обcирак, как положено - "хренсгоры может на ровном месте поиметь весь
    > ваш энтерпрайз" :)

    а нефиг ставить пакеты не пойми откуда, тогда и проблем не будет. И неожиданно ынтерпрайз оказывается тут не при чем :) А если уж и ставишь с репозитария Дядюшки Ляо, так сам себе буратино


     
     
  • 3.6, arisu, 11:08, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    > а нефиг ставить пакеты не пойми откуда, тогда и проблем не будет.

    ты только что одним махом обозвал всех, кто чинит уязвимости, дебилами. ты мегакрут.

     
  • 3.8, EHLO, 12:01, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >>> злоумышленник может изменить корректно подписанный пакет.
    >> Энтерпрайзный обcирак, как положено - "хренсгоры может на ровном месте поиметь весь
    >> ваш энтерпрайз" :)
    > а нефиг ставить пакеты не пойми откуда, тогда и проблем не будет.
    > И неожиданно ынтерпрайз оказывается тут не при чем :) А если
    > уж и ставишь с репозитария Дядюшки Ляо, так сам себе буратино

    Как ты проверишь что адрес http://mirror.centos.org приведет тебя не к Дяде?

     
     
  • 4.10, ALex_hha, 14:03, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Как ты проверишь что адрес http://mirror.centos.org приведет тебя не к Дяде?

    речь вроде шла об Ынтерпрайз, т.е. RHEL, а у них там подписка и просто так левое зеркало тебе никогда не дадут ;)

     
     
  • 5.12, EHLO, 14:40, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> Как ты проверишь что адрес http://mirror.centos.org приведет тебя не к Дяде?
    > речь вроде шла об Ынтерпрайз, т.е. RHEL, а у них там подписка

    Скажу по секрету, Центось второй после Дебиана серверный дистрибутив в продакшне(по крайней мере в вэбе) по маркетшаре. Был раньше, до 7 версии конечно.

    > и просто так левое зеркало тебе никогда не дадут ;)

    MITM?
    DNS cache poisoning?
    Не, не слышал.

     
  • 5.15, Аноним, 14:48, 12/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А хакирь на проводе или роутере может быть и не в курсе таких допущений ... весь текст скрыт [показать]
     
  • 3.13, Аноним, 14:44, 12/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так соль в том что даже в пакетах с правильной подписью можно получить черти-что... весь текст скрыт [показать]
     
  • 3.16, Аноним, 14:50, 12/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так это, проверка подписи пакета - это то что дает уверенность в том что это не ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 10:06, 12/12/2014 [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну конечно А скольким ауторити по дефолту доверяет эта либа В смысле, сколько ... весь текст скрыт [показать]
     
     
  • 2.17, Stax, 14:54, 12/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Fedora uses a whole-file hash chain rooted in a hash downloaded over TLS SSL fro... весь текст скрыт [показать]
     
     
  • 3.19, arisu, 14:58, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    и ведь казалось бы, всего-то дел: взять, да и подписать уже созданый архив. и распаковывать ничего не надо, и ЩАСТЬЕ. но это слишком лёгкий путь, так неинтересно.
     
  • 3.20, EHLO, 15:22, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >И даже понятно, почему rpm так делает

    Да не, Леннарт в те годы еще пешком под стол ходил.

     
  • 1.4, PnDx, 10:42, 12/12/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    Что-то ходжу Насреддина вспомнил. Таракана нужно поймать и насыпать инсектицид на хвост. Ну, в смысле, бомбануть репозиторий и засунуть свой "патч".
     
  • 1.5, iZEN, 10:54, 12/12/2014 [ответить] [смотреть все]    [к модератору]  
  • –5 +/
    Просто нужно использовать подписанный JAR, как в энтерпрайзной Java.
     
     
  • 2.7, Аноним, 11:29, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Подписывать любишь? А, ну да, у тебя же загрузчик вантуза тоже подписан.
     
  • 2.9, имя, 12:29, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Что-то я не видел, чтобы чуваки из FreeBSD распространяли sendmail в JAR-ах.
     
  • 2.14, Аноним, 14:46, 12/12/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    У них RPM подписан, но им это не помогло эти таланты умудрились запускать некот... весь текст скрыт [показать]
     
     
  • 3.18, Stax, 14:56, 12/12/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> Просто нужно использовать подписанный JAR
    > У них RPM подписан, но им это не помогло: эти таланты умудрились
    > запускать некоторые скрипты раньше чем закончится проверка подписи. Круто придумано :).

    Ну запускали не они, а cron. Который, как бы, работает независимо.. Они в блоге пишут про API, который позволяет положить файл так, чтобы его никто не видел (флаг O_TMPFILE), но нужно ядро новее, чем в EL7 и сам распоследний glibc, которого тоже там нет.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor