OpenForum RSS: OpenNews: Отчет о проблемах безопасности при работе менеджеров пакетов в Linux https://www.opennet.ru/openforum/vsluhforumID3/42872.html Исследователи из университета Аризоны опубликовали отчет (http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attacks-on-package-managers.html) по проблемами безопасности, возникающих при работе менеджеров пакетов в Linux. Основной акцент сделан на том, что утилиты, такие как <br>yum<br> и <br>apt<br> с готовностью инсталлируют пакеты, проверяя только их версию. При этом известные уязвимости этих сборок в расчет не принимаются. Получается, что менеджеру пакетов можно передать абсолютно любое ПО, лишь бы его версия была выше предыдущей.<br><br><br>Менеджеры пакетов часто запускаются с администраторскими привилегиями, для того что бы модификация кода программ и системы происходила в автоматическом режиме без участия пользователя и ввода необходимых паролей. В результате, процесс получает неограниченные полномочия, и обеспечение его безопасной работы является жизненно важной задачей.<br><br><br>&lt;i&gt;"Мы изучили десять популярных менеджеров пакетов, включая APT, YUM, YaST и др., для операционных систем, ос...<br><br>URL: http://www.cs. OpenNews: Отчет о проблемах безопасности при работе менеджер... (nuclight) https://www.opennet.ru/openforum/vsluhforumID3/42872.html#47 Sun, 27 Jul 2008 17:59:31 GMT &gt;А вот с freebsd действительно есть проблема, tgz не подписываются, подменить порты <br>&gt;(и это случалось!!!, я помню про 4.х) не проблема, md5 также <br>&gt;можно перегенерировать в порте - я так и делал иной <br>&gt;раз для замены orig. <br><br>Подменить самому, будучи рутом, и когда подменит кто-то другой - две большие разницы. Для параноиков на то и компиляция, а подменить порты при обновлении не даст, например, portsnap - его автор Security Officer FreeBSD и к вопросу зеркал подошел соответственно.<br> Отчет о проблемах безопасности при работе менеджеров пакетов... (Shane) https://www.opennet.ru/openforum/vsluhforumID3/42872.html#46 Sun, 20 Jul 2008 10:36:18 GMT &gt;Решение простое - ставить из портов, обновленных portsnap. <br>&gt;При этом абсолютно все равно, откуда вы скачали исходники или базу - <br>&gt;все проверяется ключами и сигнатурами. <br>&gt;Я из котовый пакаджей ничего и никогда не ставлю. Мне не лень <br>&gt;перекомпилировать. <br><br>А как насчет обновления world через cvsup? там ничего не проверяется..<br> Отчет о проблемах безопасности при работе менеджеров пакетов... (poni) https://www.opennet.ru/openforum/vsluhforumID3/42872.html#45 Fri, 18 Jul 2008 23:18:00 GMT &gt;&gt;И какие системы пакетов на сегодня уязвимы для этого? <br>&gt;<br>&gt;SUSE открестились от этого: http://lists.opensuse.org/opensuse-security-announce/2008-07/msg00005.html <br>&gt;<br>&gt;И как я вижу в centos/rhel так же все ок. <br><br>http://www.hughesjr.com/content/view/22/1/<br> Отчет о проблемах безопасности при работе менеджеров пакетов... (fi) https://www.opennet.ru/openforum/vsluhforumID3/42872.html#44 Wed, 16 Jul 2008 20:09:30 GMT &gt;И какие системы пакетов на сегодня уязвимы для этого? <br><br>SUSE открестились от этого: http://lists.opensuse.org/opensuse-security-announce/2008-07/msg00005.html<br><br>И как я вижу в centos/rhel так же все ок.<br><br> Отчет о проблемах безопасности при работе менеджеров пакетов... (User294) https://www.opennet.ru/openforum/vsluhforumID3/42872.html#43 Wed, 16 Jul 2008 13:23:35 GMT &gt;PS: гентушники более уязвимы ещё и для configure-троянов навроде сендмыльного... <br><br>Для 100% защиты все-равно надо еще сорц глазами до компиляции читать еще, а вот на это гентушники имхо не разопрутся.А потому что им там подсунули они узнают 1 фиг как и все остальные - запустив это :)<br> Отчет о проблемах безопасности при работе менеджеров пакетов в Linux (Sarge) https://www.opennet.ru/openforum/vsluhforumID3/42872.html#42 Wed, 16 Jul 2008 08:16:36 GMT Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей (пакет взять из старого официального репозитария, т.е. он будет правильно подписан). Но файлы метаданных заменить на файлы из свежего пакета. В результате менеджер пакетов будет думать, что это новая версия и она правильно подписана.<br><br>Это будет работать в случае, если данные и метаданные подписаны отдельно (или метаданные вообще не подписаны). Кто-нибудь может подтвердить или опровергнуть эту уязвимость? И какие системы пакетов на сегодня уязвимы для этого?<br> Отчет о проблемах безопасности при работе менеджеров пакетов... (fi) https://www.opennet.ru/openforum/vsluhforumID3/42872.html#41 Wed, 16 Jul 2008 06:11:27 GMT И этот случай предусмотрен. Например, в yum указывается не репозитарий, а список их: <br> mirrorlist=http://packman.links2linux.de/mirrorlists/suse<br>он естественно ротируется. Так что вероятность подсунуть старые пакеты с ошибкой сходит к нулю.<br><br>В общем авторы явно опоздали лет на десять, и сейчас это просто гон. В лучших традициях МС - главное посеять неуверенность. <br><br> OpenNews: Отчет о проблемах безопасности при работе менеджер... (just_another_anonymous) https://www.opennet.ru/openforum/vsluhforumID3/42872.html#40 Wed, 16 Jul 2008 05:08:27 GMT &gt; Он позволяет проверить наличие уязвимостей в уже установленных пакетах,<br>&gt; и не просто проверить, а получить URL с более подробным описанием проблемы.<br>&gt; Аналогичной утилиты в Linux я не знаю.<br><br>glsa-check (для gentoo)<br> Отчет о проблемах безопасности при работе менеджеров пакетов... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/42872.html#39 Tue, 15 Jul 2008 23:10:15 GMT Помоему вообще мало кто что понял)))))<br>