forum.opennet.ru

"Уязвимость в пакетном менеджере APT, позволяющая подменить з..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+1 +/–
Сообщение от нах (?), 23-Янв-19, 16:05
> А как понять какие из ключей на кейсервере верные (принадлежат разработчикам генты)? по простому никак, но ключи меняются редко и обычно с анонсами, их айдишки должны легко находиться гуглем не на васян-сайтах, keyservers должно быть много и не все должны быть с публичным доступом. то есть подменить-поломать придется не только зеркало репо, что как раз довольно просто, но и какой-нибудь keyserver.gentoo.org (разумеется, им придется озаботиться, если еще не) с авторизацией только для своих. Причем так, чтобы никто из, к примеру, имевших уже свои копии ключей, не спалил подмену и не понял шум. Если что - я как раз сегодня искал очередной убунтин ключ (поубивал бы этих любителей их менять десять раз на дню), он находится. Вариант перехвата лично твоего траффика с подменой того и другого оставим для криптопараноиков. weboftrust на мой взгляд заканчивается на первом хопе, потому что у меня нет никакой уверенности в пряморукости, внимательности и аккуратности второго. А инфраструктура gpg по каким-то странным причинам напрочь этого не умеет учитывать.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в пакетном менеджере APT, позволяющая подменить з..., opennews, 22-Янв-19, 23:23 [смотреть все]

Так так Ну что страдайте апт гетчики , Gagauz, 22-Янв-19, 23:23 (1) //
- Ну поломайте же наконец меня , Michael Shigorin, 22-Янв-19, 23:57 (9) //
  - Нет, Джо , Qwerty, 23-Янв-19, 00:13 (15)
  - А разве у ваших rpm-ок нет своей подписи Не верю rpm еще не пробили , fi, 23-Янв-19, 17:30 (117)
  - Если Вас поломают, Вы об этом можете никогда даже не узнать, будучи гением систе, Аноним, 26-Янв-19, 14:49 (126)
Вроде бы security не обязательно заменять, он не использует CDN и редиректы А в, rm_, 22-Янв-19, 23:34 (3)
Казалось бы, при чем здесь gentoo , Аноняшка, 22-Янв-19, 23:45 (5) //
- Если злоумышленник может сделать MITM, что мешает ему подменить тарбол с исходни, irinat, 23-Янв-19, 01:50 (25) //
  - Хеш тарбола в метаданных portage, очевидно , nE0sIghT, 23-Янв-19, 06:49 (40) //
    - а portage ты через dev astral скопировал, а не открытым протоколом с левого зер, пох, 23-Янв-19, 06:58 (42)
      - Ты не поверишь Добро пожаловать в 2019 год, в котором portage синхронизируется , nE0sIghT, 23-Янв-19, 07:00 (43)
        
        с зеркала А чем это мне поможет , нах, 23-Янв-19, 11:23 (94)
        
        цифровой подписью коммита и хешем этого самого коммита, captcha 20168, 23-Янв-19, 16:33 (116)
        Это же Git с подписью каждого коммита Можно установить автора последнего коммита, nE0sIghT, 23-Янв-19, 18:15 (119)
      - При обновлении portage он точно так же был проверен по хешу как и другие пакеты , Гентушник, 23-Янв-19, 09:43 (59)
        
        Вот на почте болванку и подменили Нет у вас методов против Коли W Почты России , scor, 23-Янв-19, 10:07 (65)
        
        Всё возможно Но в цепочке доверия нужно с чего-то начать У кого-то это сайт htt, Гентушник, 23-Янв-19, 10:24 (71)
        
        у правильной цепочки должно быть не одно возможное начало скачанные с того же са, нах, 23-Янв-19, 11:02 (83)
        
        Самое главное доверие, на котором все держится - это доверие тому что ты нах ник, rshadow, 23-Янв-19, 12:06 (99)
        
        лично ты может и не нужен хотя твои процессорные мощности могут пригодиться пом, нах, 23-Янв-19, 15:55 (112)
        
        Это начало какой то замудерённой сети, а не цепочки ИМХО , Аноним, 23-Янв-19, 12:37 (101)
        Нет Скачанные с какого-нибудь васянского зеркала, по http, через открытый WiFi , Гентушник, 23-Янв-19, 13:44 (107)
        
        по простому никак, но ключи меняются редко и обычно с анонсами, их айдишки должн , нах, 23-Янв-19, 16:05 (113)
        
        Обожаю форумную криптографию Она такая форумная Такая незамутнённая sig, Andrey Mitrofanov, 23-Янв-19, 11:25 (96)
        
        Судя по всему вот они https gentoo osuosl org releases amd64 20160704 , freehck, 23-Янв-19, 13:07 (103)
        
        Ну, вот да-да я знал Вы там средь своих, гентушников, поучите, поучи, Andrey Mitrofanov, 23-Янв-19, 14:15 (110)
        
        Там есть файлы с подписями, но они полезны лишь в случае если у человека есть до, Гентушник, 23-Янв-19, 13:34 (106)
      - https gentoo org support news-items 2018-01-30-portage-rsync-verification html, Я, 23-Янв-19, 23:26 (122)
  - а они что, по сей день не научились подписывать свои ебилды Да ну, не может быт, пох, 23-Янв-19, 06:57 (41) //
    - Ну зачем ты слёзы то лил Ну был же тогда уже emerge-websync с проверкой подписи, nE0sIghT, 23-Янв-19, 08:58 (55)
      - ну как бы костылик наверное уже был его еще, правда, взять откуда-то надо было,, нах, 23-Янв-19, 11:08 (90)
        
        Контрольная сумма для проверки на побитость, а не для верификации , Онанимус, 23-Янв-19, 13:46 (108)
        
        ну да, gzip же ж ее не проверяет, ага Причем, заметьте - неотключаемая , нах, 23-Янв-19, 16:06 (114)
        
        Сидел он, сидел Вот даже в хэндбуке о нём написано было в далёком 2006 году htt, nE0sIghT, 23-Янв-19, 18:32 (120)
    - А тебе повезло, что в 2008 ты не сталкивался с кеширующими проксями, от которых , irinat, 23-Янв-19, 14:14 (109)
pacman -Syyuu It s the best, Simion, 22-Янв-19, 23:47 (7) //
- Арчеводы вообще-то дружно забили на в чём-то перекликающийся баг, которым им кол, Michael Shigorin, 22-Янв-19, 23:59 (10) //
  - К ним хоть зашли А в альт кто-нибудь заходит Или только выходит , Аноним, 23-Янв-19, 00:39 (19) //
    - И хоть в белой шляпе, а не в серой Боюсь, Вам уже или к ослику Иа, или к профиль, Michael Shigorin, 23-Янв-19, 01:22 (21)
Получается обновление apt нужно качать через уязвимый apt , Аноним, 23-Янв-19, 00:04 (12) //
- Зачем Его можно собрать , IdeaFix, 23-Янв-19, 00:07 (14) //
  - Понадобятся шило, ножницы и пластиковая бутылка , анонимус, 23-Янв-19, 00:33 (17) //
    - И фольга , Hz, 23-Янв-19, 04:20 (33)
      - и зажигалка, а ножницы оставьте неумехам - и без них норм , пох, 23-Янв-19, 07:02 (44)
    - За что вы так называете gcc , Аноним, 23-Янв-19, 09:52 (63)
      - Потому что меня от него прёт, Аноним, 23-Янв-19, 18:01 (118)
- Либо настройками запретить переадресацию, либо воспользоваться security through , irinat, 23-Янв-19, 01:57 (26)
- Можно при этом обновлении отключить перенаправления источник уязвимости sudo, Shevchuk, 23-Янв-19, 06:32 (37)
- В новости ведь даже приведён волшебный ключик отключающий уязвимое поведение Де, MrClon, 23-Янв-19, 09:02 (56)
- Кстати, I да I Я тоже там наверху никогда не читаю http www opennet, Andrey Mitrofanov, 23-Янв-19, 10:33 (76)
Опять синдром NIH и кастомные парсеры - в результате грабли А ведь можно было и, Аноним, 23-Янв-19, 02:00 (27) //
- И где Вы весь такой умный были в девяносто-когда-там-апт-делали , Michael Shigorin, 23-Янв-19, 02:05 (28) //
  - Это понятно Однако любителям изобретать свои простые текстовые протоколы стои, Аноним, 23-Янв-19, 02:13 (29) //
    - Это да И заодно - борцам с готовыми библиотеками , Crazy Alex, 23-Янв-19, 04:45 (34)
    - В 90-каком-то году не было json, и только взлетал xml , Ю.Т., 23-Янв-19, 10:11 (67)
  - Подрастает уже которое поколение, для которого написать парсер или язык -- невып, freehck, 23-Янв-19, 11:03 (84) //
    - lex - это мелко Вот flex с состояниями без bison - вот это да , CAE, 23-Янв-19, 11:24 (95)
      - lex -- это название собирательное Их ведь много, и для каждого языка своя , freehck, 23-Янв-19, 13:02 (102)
- Apt писали, когда ни ты ещё не родился, ни JSON ещё не придумали Поэтому, не сп, Аноним, 23-Янв-19, 02:15 (30) //
  - Попробуй потушиться и перечитать, на что отвечаешь TLDR к HTTP претензий нет , Аноним, 23-Янв-19, 02:22 (31)
- Вы так свято верите в непогрешимость сторонних парсеров , YetAnotherOnanym, 23-Янв-19, 02:35 (32) //
  - Они больше на глазах и, как правило, более архитектурно написаны, как и то, чт, Crazy Alex, 23-Янв-19, 04:51 (35) //
    - тысячигласс, да Как правило они overengineered, bloated и вообще не поддаются ан, пох, 23-Янв-19, 07:10 (46)
    - Что,, прям все Как http langsec org проверял Как http langsec org провер, Andrey Mitrofanov, 23-Янв-19, 09:44 (61)
- стесняюсь спросить - а в json парсерах не правят раз в месяц очередное ой мы об, пох, 23-Янв-19, 07:06 (45)
- Вот только баг в данном случае не в парсере, а в генераторе Если бы JSON формир, sigprof, 23-Янв-19, 08:42 (54) //
  - Хотя разлёт обобряю I , Andrey Mitrofanov, 23-Янв-19, 09:45 (62)
Зачем тогда было выносить обработчик транспорта в отдельный процесс Зачем общ, Аноним, 23-Янв-19, 06:02 (36) //
- unixway, не, не слышали давайте запилим уже systemd-aptd, ага С бинарным проток, пох, 23-Янв-19, 07:14 (47) //
  - Одно дело 8212 развивать независимые проекты, предоставляющие другим приложен, Аноним, 23-Янв-19, 08:28 (53) //
    - в каком месте fileutils, к примеру - независимые проекты А если вы опоздали р, нах, 23-Янв-19, 11:19 (93)
    - О, а покажите-ка список того, что Вы _уже_ наархитектурили и взлетело А то в, Michael Shigorin, 23-Янв-19, 13:29 (105)
Как можно проверить в куче установленных апт ориентированных дистрибутивов, что , Аноним, 23-Янв-19, 06:44 (39) //
- Развернуть рядом точно такую же систему с такими же пакетами и версиями список , Гентушник, 23-Янв-19, 11:06 (87) //
  - И обязательно ч-з нескомпрометированный этими пра-а-ативными MITM-ами Интернет , Andrey Mitrofanov, 23-Янв-19, 11:31 (97)
  - Как развернуть такую точно такую же систему с такими же пакетами и версиями , Аноним, 24-Сен-19, 15:41 (127) //
    - Готового рецепта не знаю Список пакетов с версиями можно вывести через dpkg-quer, Гентушник, 24-Сен-19, 18:39 (128)
Для Debian есть прямой workaround, настолько прямой, что меня Debian GNU Linux , odd.mean, 23-Янв-19, 07:19 (48) //
- А если подключены ещё пара реп, которые в тор никто не додумался закинуть Вот ст, ryoken, 23-Янв-19, 07:47 (50)
- , что он написан в новости наверху, он написан в DSA-, он ПРЯМООООЙ , Andrey Mitrofanov, 23-Янв-19, 10:31 (75) //
  - Гм Обновил в своём Devuan ASCII 2 0 Так как все пара-другая, потом бросил по, Andrey Mitrofanov, 23-Янв-19, 11:11 (91)
- Если там какой нить баг окажется, то и следов кто тебе напихал не найти , rshadow, 23-Янв-19, 12:31 (100) //
  - ну как будто ты найдешь следы кто поломал какой-нибудь левый репо давно забытый , нах, 23-Янв-19, 16:08 (115)
И АНБ вот уже сколько лет ломает всех, кто это юзает Скажите спасибо Дебиану за, Аноним, 23-Янв-19, 09:24 (57)
Соединяюсь с репами по HTTPS и мои волосы мягкие и шелковистые , Аноним, 23-Янв-19, 10:19 (70) //
- Какой попсовый анон нонче пошел Ссаными тапками по лицу автору новости Соединяе, Аноним, 23-Янв-19, 11:03 (85)
Кто-то тут позавчера бил себя пяткой в грудь и кричал что в стабильном релизе не, Аноним, 23-Янв-19, 10:26 (72) //
- Потому что их _исправляют_ Иди туда-вчера и прочитай, что там-тогда написано , Andrey Mitrofanov, 23-Янв-19, 10:36 (77) //
  - Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исп, Аноним, 23-Янв-19, 10:42 (78) //
    - А ещё майнтейнер systemd временно отстранился от майнтенинга этого пакета, так ч, Аноним, 23-Янв-19, 10:51 (79)
      - Надо уточнять что именно в дебиан , Цирк без коней, 23-Янв-19, 11:04 (86)
        
        Надо еще уточнять что один из нескольких мантейнеров , Аноним, 23-Янв-19, 11:18 (92)
    - Да-да Мы так и поверили , Аноним, 23-Янв-19, 10:58 (81)
    - Пройдите на https www debian org security https lists debian org debia, Andrey Mitrofanov, 23-Янв-19, 10:59 (82)
    - Любите опасность , Цирк без коней, 23-Янв-19, 11:07 (88)
    - Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы ис, Цирк без коней, 23-Янв-19, 11:07 (89)
- Кто тебе куда бил Иди регрессию после очередного обновления systemd исправляй, , Аноним, 23-Янв-19, 10:58 (80) //
  - а зачем ее исправлять У полутора пользователей, вздумавших, вот поганцы, лучше , дебилиан, 23-Янв-19, 11:50 (98)
Очередная дырка в Дебиане, всегда проигрываю , Аноним, 23-Янв-19, 15:50 (111)
Спасибо исследователю безопасности Max y, jalavan, 23-Янв-19, 21:42 (121)
глаза откройте, у кого они еще есть Уязвимость устранена в v 1 4 9 Для Debian , su, 24-Янв-19, 11:20 (123)
Поясните далекому от всего этого http Почему вообще свойства транспорта как-то , Анонымоус, 24-Янв-19, 21:24 (124) //
- Там проблема не в транспорте а в обработчиках и архитектуре апта Из-за ошибки в, Аноним, 25-Янв-19, 15:33 (125)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру