forum.opennet.ru - "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." (103)

"Уязвимость в пакетном менеджере APT, позволяющая подменить з..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
Сообщение от opennews (?), 22-Янв-19, 23:23
В пакетном менеджере APT выявлена (https://justi.cz/security/2019/01/22/apt-rce.html) уязвимость (CVE-2019-3462 (https://security-tracker.debian.org/tracker/CVE-2019-3462)), позволяющая злоумышленнику инициировать подмену устанавливаемого пакета, если атакующий получил контроль за зеркалом репозитория или способен вклиниться в транзитный трафик между пользователем и репозиторием (MITM-атака). Проблема вызвана некорректной проверкой полей в коде обработки HTTP-редиректов, что позволяет атакующему подставить собственное содержимое в данные, передаваемые в рамках HTTP-сеанса (по умолчанию Debian и Ubuntu используют при обращении к репозиторию HTTP, а не HTTPS, полагая (https://whydoesaptnotusehttps.com/), что достаточно цифровой подписи метаданных и проверки соответствия размера пакета). Выявленная уязвимость позволяет подменить передаваемый пакет, после чего APT воспримет его как полученный с официального зеркала и инициирует процесс установки. Через включение во вредоносный пакет скриптов, запускаемых во время установки, атакующий может добиться выполнения своего кода в системе с правами root. Для загрузки данных из репозитория APT запускает дочерний процесс с реализацией конкретного транспорта и организует взаимодействие с этим процессом при помощи простого текстового проткола с разделением команд пустой строкой. Суть проблемы в том, что обработчик транспорта HTTP при получении от HTTP-сервера ответа с заголовком "Location:" запрашивает у родительского процесса подтверждение редиректа, целиком передавая содержимое этого заголовка. Из-за отсутствия чистки передаваемых спецсимволов, атакующий может указать в поле "Location:" значение, содержащее перевод строки (напрмер, "Location: /payload%0A%0A201%20URI%20Done..."). Так как данное значение будет декодировано и передано через канал связи с родительским процессом, атакующий имеет возможность симулировать иной ответ от обработчика транспорта HTTP и после блока "103 Redirect" подставить фиктивный блок "201 URI Done" с сопутствующими фиктивными метаданными. Например, если при запросе пакета "cowsay_3.03+dfsg2-3_all.deb" атакующий подставит ответ с "Location: /payload%0A%0A201%20URI%20Done%0AURI%3A%20http%3A//deb.debian.org ... Checksum-FileSize-Hash%3A%2020070%0A", такая подстановка приведёт к передаче родительскому процессу следующего блока данных: 103 Redirect URI: http://deb.debian.org/debian/pool/main/c/cowsay/cowsay_3.03+... New-URI: http://deb.debian.org/payload 201 URI Done URI: http://deb.debian.org/payload Filename: /var/lib/apt/lists/deb.debian.org_debian_dists_stretch_Release.gpg Size: 20070 Last-Modified: Tue, 07 Mar 2017 00:29:01 +0000 MD5-Hash: 27967ddb76b2c394a0714480b7072ab3 MD5Sum-Hash: 27967ddb76b2c394a0714480b7072ab3 SHA256-Hash: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831 Checksum-FileSize-Hash: 20070 в котором все данные после строки "New-URI: http://deb.debian.org/payload" были закодированы в переданным злоумышленником ответе "Location:...". Вычислением хэшей для загруженных файлов занимается обработчик транспорта, а родительский процесс просто сверяет эти данные с хэшами из базы подписанных пакетов. В числе метаданных атакующий может указать любые значения проверочных хэшей, привязанные в БД к реальным подписанным пакетам, но фактически не соответствующие хэшам переданного файла. Родительский процесс воспримет подставленный атакующим код ответа, найдёт хэш в базе и посчитает, что загружен пакет для которого имеется корректная цифровая подпись, хотя на деле значение поля с хэшем подставлено в канал связи с родительским процессом атакующим, а переданный файл имеет совсем другой хэш. Загрузка вредоносного пакета производится через прикрепление пакета к файлу Release.gpg, который имеет предсказуемое местоположение в ФС. Уязвимость устранена выпуске APT 1.4.9, а также в обновлениях пакетов в Ubuntu (https://usn.ubuntu.com/3863-1/) и стабильных ветках Debian (https://lists.debian.org/debian-security-announce/2019/msg00...) (Jessie и Stretch), но в экспериментальных ветках Debian пока остаётся неисправленной (https://security-tracker.debian.org/tracker/CVE-2019-3462). Если имеется опасность проведения целевых MITM-атак в качестве обходного пути защиты можно при выполнении операций с apt/apt-get явно отключать поддержку редиректов (например, "apt -o Acquire::http::AllowRedirect=false update"). Подобное отключение может привести к нарушению работы автоматического проброса на ближайшее зеркало, поэтому в sources.list следует заменить security.debian.org на конкретное зеркало (например, cdn-fastly.deb.debian.org). URL: https://justi.cz/security/2019/01/22/apt-rce.html Новость: https://www.opennet.me/opennews/art.shtml?num=50007
Ответить \| Правка \| Cообщить модератору

Оглавление

Так так Ну что страдайте апт гетчики , Gagauz (?), 23:23 , 22-Янв-19, (1) –8

Ну поломайте же наконец меня , Michael Shigorin (ok), 23:57 , 22-Янв-19, (9) –14

Нет, Джо , Qwerty (??), 00:13 , 23-Янв-19, (15) +24
А разве у ваших rpm-ок нет своей подписи Не верю rpm еще не пробили , fi (ok), 17:30 , 23-Янв-19, (117)
Если Вас поломают, Вы об этом можете никогда даже не узнать, будучи гением систе, Аноним (126), 14:49 , 26-Янв-19, (126)

Вроде бы security не обязательно заменять, он не использует CDN и редиректы А в, rm_ (ok), 23:34 , 22-Янв-19, (3)
Казалось бы, при чем здесь gentoo , Аноняшка (?), 23:45 , 22-Янв-19, (5)

Если злоумышленник может сделать MITM, что мешает ему подменить тарбол с исходни, irinat (ok), 01:50 , 23-Янв-19, (25) +1

Хеш тарбола в метаданных portage, очевидно , nE0sIghT (ok), 06:49 , 23-Янв-19, (40) +5

а portage ты через dev astral скопировал, а не открытым протоколом с левого зер, пох (?), 06:58 , 23-Янв-19, (42)

Ты не поверишь Добро пожаловать в 2019 год, в котором portage синхронизируется , nE0sIghT (ok), 07:00 , 23-Янв-19, (43) +2

с зеркала А чем это мне поможет , нах (?), 11:23 , 23-Янв-19, (94)

цифровой подписью коммита и хешем этого самого коммита, captcha 20168 (?), 16:33 , 23-Янв-19, (116)
Это же Git с подписью каждого коммита Можно установить автора последнего коммита, nE0sIghT (ok), 18:15 , 23-Янв-19, (119)

При обновлении portage он точно так же был проверен по хешу как и другие пакеты , Гентушник (ok), 09:43 , 23-Янв-19, (59)

Вот на почте болванку и подменили Нет у вас методов против Коли W Почты России , scor (ok), 10:07 , 23-Янв-19, (65) +9

Всё возможно Но в цепочке доверия нужно с чего-то начать У кого-то это сайт htt, Гентушник (ok), 10:24 , 23-Янв-19, (71) +1

у правильной цепочки должно быть не одно возможное начало скачанные с того же са, нах (?), 11:02 , 23-Янв-19, (83)

Самое главное доверие, на котором все держится - это доверие тому что ты нах ник, rshadow (ok), 12:06 , 23-Янв-19, (99)

лично ты может и не нужен хотя твои процессорные мощности могут пригодиться пом, нах (?), 15:55 , 23-Янв-19, (112) –1

Это начало какой то замудерённой сети, а не цепочки ИМХО , Аноним (101), 12:37 , 23-Янв-19, (101) –1
Нет Скачанные с какого-нибудь васянского зеркала, по http, через открытый WiFi , Гентушник (ok), 13:44 , 23-Янв-19, (107) +1

по простому никак, но ключи меняются редко и обычно с анонсами, их айдишки должн, нах (?), 16:05 , 23-Янв-19, (113) +1

Обожаю форумную криптографию Она такая форумная Такая незамутнённая sig, Andrey Mitrofanov (?), 11:25 , 23-Янв-19, (96) –2

Судя по всему вот они https gentoo osuosl org releases amd64 20160704 , freehck (ok), 13:07 , 23-Янв-19, (103) +1

Ну, вот да-да я знал Вы там средь своих, гентушников, поучите, поучи, Andrey Mitrofanov (?), 14:15 , 23-Янв-19, (110) –1

Там есть файлы с подписями, но они полезны лишь в случае если у человека есть до, Гентушник (ok), 13:34 , 23-Янв-19, (106) +1

https gentoo org support news-items 2018-01-30-portage-rsync-verification html, Я (??), 23:26 , 23-Янв-19, (122)

а они что, по сей день не научились подписывать свои ебилды Да ну, не может быт, пох (?), 06:57 , 23-Янв-19, (41)

Ну зачем ты слёзы то лил Ну был же тогда уже emerge-websync с проверкой подписи, nE0sIghT (ok), 08:58 , 23-Янв-19, (55) +1

ну как бы костылик наверное уже был его еще, правда, взять откуда-то надо было,, нах (?), 11:08 , 23-Янв-19, (90)

Контрольная сумма для проверки на побитость, а не для верификации , Онанимус (?), 13:46 , 23-Янв-19, (108) +3

ну да, gzip же ж ее не проверяет, ага Причем, заметьте - неотключаемая , нах (?), 16:06 , 23-Янв-19, (114)

Сидел он, сидел Вот даже в хэндбуке о нём написано было в далёком 2006 году htt, nE0sIghT (ok), 18:32 , 23-Янв-19, (120)

А тебе повезло, что в 2008 ты не сталкивался с кеширующими проксями, от которых , irinat (ok), 14:14 , 23-Янв-19, (109)

pacman -Syyuu It s the best, Simion (?), 23:47 , 22-Янв-19, (7) +1

Арчеводы вообще-то дружно забили на в чём-то перекликающийся баг, которым им кол, Michael Shigorin (ok), 23:59 , 22-Янв-19, (10) +1

К ним хоть зашли А в альт кто-нибудь заходит Или только выходит , Аноним (19), 00:39 , 23-Янв-19, (19) +1

И хоть в белой шляпе, а не в серой Боюсь, Вам уже или к ослику Иа, или к профиль, Michael Shigorin (ok), 01:22 , 23-Янв-19, (21) –3

Получается обновление apt нужно качать через уязвимый apt , Аноним (12), 00:04 , 23-Янв-19, (12)

Зачем Его можно собрать , IdeaFix (ok), 00:07 , 23-Янв-19, (14)

Понадобятся шило, ножницы и пластиковая бутылка , анонимус (??), 00:33 , 23-Янв-19, (17) +1

И фольга , Hz (??), 04:20 , 23-Янв-19, (33) +4

и зажигалка, а ножницы оставьте неумехам - и без них норм , пох (?), 07:02 , 23-Янв-19, (44)

За что вы так называете gcc , Аноним (63), 09:52 , 23-Янв-19, (63)

Потому что меня от него прёт, Аноним (118), 18:01 , 23-Янв-19, (118)

Либо настройками запретить переадресацию, либо воспользоваться security through , irinat (ok), 01:57 , 23-Янв-19, (26) +3
Можно при этом обновлении отключить перенаправления источник уязвимости sudo, Shevchuk (ok), 06:32 , 23-Янв-19, (37)
В новости ведь даже приведён волшебный ключик отключающий уязвимое поведение Де, MrClon (ok), 09:02 , 23-Янв-19, (56)
Кстати, I да I Я тоже там наверху никогда не читаю http www opennet, Andrey Mitrofanov (?), 10:33 , 23-Янв-19, (76) +1

Опять синдром NIH и кастомные парсеры - в результате грабли А ведь можно было и, Аноним (-), 02:00 , 23-Янв-19, (27) –5

И где Вы весь такой умный были в девяносто-когда-там-апт-делали , Michael Shigorin (ok), 02:05 , 23-Янв-19, (28) +5

Это понятно Однако любителям изобретать свои простые текстовые протоколы стои, Аноним (-), 02:13 , 23-Янв-19, (29)

Это да И заодно - борцам с готовыми библиотеками , Crazy Alex (ok), 04:45 , 23-Янв-19, (34)
В 90-каком-то году не было json, и только взлетал xml , Ю.Т. (?), 10:11 , 23-Янв-19, (67)

Подрастает уже которое поколение, для которого написать парсер или язык -- невып, freehck (ok), 11:03 , 23-Янв-19, (84) +5

lex - это мелко Вот flex с состояниями без bison - вот это да , CAE (ok), 11:24 , 23-Янв-19, (95)

lex -- это название собирательное Их ведь много, и для каждого языка своя , freehck (ok), 13:02 , 23-Янв-19, (102) +1

Apt писали, когда ни ты ещё не родился, ни JSON ещё не придумали Поэтому, не сп, Аноним (30), 02:15 , 23-Янв-19, (30) +1

Попробуй потушиться и перечитать, на что отвечаешь TLDR к HTTP претензий нет , Аноним (-), 02:22 , 23-Янв-19, (31)

Вы так свято верите в непогрешимость сторонних парсеров , YetAnotherOnanym (ok), 02:35 , 23-Янв-19, (32) +2

Они больше на глазах и, как правило, более архитектурно написаны, как и то, чт, Crazy Alex (ok), 04:51 , 23-Янв-19, (35) –3

тысячигласс, да Как правило они overengineered, bloated и вообще не поддаются ан, пох (?), 07:10 , 23-Янв-19, (46) +2
Что,, прям все Как http langsec org проверял Как http langsec org провер, Andrey Mitrofanov (?), 09:44 , 23-Янв-19, (61) +2

стесняюсь спросить - а в json парсерах не правят раз в месяц очередное ой мы об, пох (?), 07:06 , 23-Янв-19, (45) +6
Вот только баг в данном случае не в парсере, а в генераторе Если бы JSON формир, sigprof (ok), 08:42 , 23-Янв-19, (54) +1

Хотя разлёт обобряю I , Andrey Mitrofanov (?), 09:45 , 23-Янв-19, (62)

Зачем тогда было выносить обработчик транспорта в отдельный процесс Зачем общ, Аноним (36), 06:02 , 23-Янв-19, (36) –2

unixway, не, не слышали давайте запилим уже systemd-aptd, ага С бинарным проток, пох (?), 07:14 , 23-Янв-19, (47) +1

Одно дело 8212 развивать независимые проекты, предоставляющие другим приложен, Аноним (36), 08:28 , 23-Янв-19, (53) –4

в каком месте fileutils, к примеру - независимые проекты А если вы опоздали р, нах (?), 11:19 , 23-Янв-19, (93) +1
О, а покажите-ка список того, что Вы _уже_ наархитектурили и взлетело А то в, Michael Shigorin (ok), 13:29 , 23-Янв-19, (105) –3

Как можно проверить в куче установленных апт ориентированных дистрибутивов, что , Аноним (39), 06:44 , 23-Янв-19, (39)

Развернуть рядом точно такую же систему с такими же пакетами и версиями список , Гентушник (ok), 11:06 , 23-Янв-19, (87)

И обязательно ч-з нескомпрометированный этими пра-а-ативными MITM-ами Интернет , Andrey Mitrofanov (?), 11:31 , 23-Янв-19, (97)
Как развернуть такую точно такую же систему с такими же пакетами и версиями , Аноним (127), 15:41 , 24-Сен-19, (127)

Готового рецепта не знаю Список пакетов с версиями можно вывести через dpkg-quer, Гентушник (ok), 18:39 , 24-Сен-19, (128)

Для Debian есть прямой workaround, настолько прямой, что меня Debian GNU Linux , odd.mean (ok), 07:19 , 23-Янв-19, (48)

А если подключены ещё пара реп, которые в тор никто не додумался закинуть Вот ст, ryoken (ok), 07:47 , 23-Янв-19, (50)
, что он написан в новости наверху, он написан в DSA-, он ПРЯМООООЙ , Andrey Mitrofanov (?), 10:31 , 23-Янв-19, (75)

Гм Обновил в своём Devuan ASCII 2 0 Так как все пара-другая, потом бросил по, Andrey Mitrofanov (?), 11:11 , 23-Янв-19, (91)

Если там какой нить баг окажется, то и следов кто тебе напихал не найти , rshadow (ok), 12:31 , 23-Янв-19, (100)

ну как будто ты найдешь следы кто поломал какой-нибудь левый репо давно забытый , нах (?), 16:08 , 23-Янв-19, (115)

И АНБ вот уже сколько лет ломает всех, кто это юзает Скажите спасибо Дебиану за, Аноним (57), 09:24 , 23-Янв-19, (57) –2
Соединяюсь с репами по HTTPS и мои волосы мягкие и шелковистые , Аноним (70), 10:19 , 23-Янв-19, (70)

Какой попсовый анон нонче пошел Ссаными тапками по лицу автору новости Соединяе, Аноним (-), 11:03 , 23-Янв-19, (85)

Кто-то тут позавчера бил себя пяткой в грудь и кричал что в стабильном релизе не, Аноним (72), 10:26 , 23-Янв-19, (72) –1

Потому что их _исправляют_ Иди туда-вчера и прочитай, что там-тогда написано , Andrey Mitrofanov (?), 10:36 , 23-Янв-19, (77)

Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исп, Аноним (72), 10:42 , 23-Янв-19, (78) –1

А ещё майнтейнер systemd временно отстранился от майнтенинга этого пакета, так ч, Аноним (72), 10:51 , 23-Янв-19, (79) –1

Надо уточнять что именно в дебиан , Цирк без коней (?), 11:04 , 23-Янв-19, (86)

Надо еще уточнять что один из нескольких мантейнеров , Аноним (92), 11:18 , 23-Янв-19, (92) +1

Да-да Мы так и поверили , Аноним (92), 10:58 , 23-Янв-19, (81) +1
Пройдите на https www debian org security https lists debian org debia, Andrey Mitrofanov (?), 10:59 , 23-Янв-19, (82) +1
Любите опасность , Цирк без коней (?), 11:07 , 23-Янв-19, (88)
Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы ис, Цирк без коней (?), 11:07 , 23-Янв-19, (89)

Кто тебе куда бил Иди регрессию после очередного обновления systemd исправляй, , Аноним (92), 10:58 , 23-Янв-19, (80) +2

а зачем ее исправлять У полутора пользователей, вздумавших, вот поганцы, лучше , дебилиан (?), 11:50 , 23-Янв-19, (98) –2

Очередная дырка в Дебиане, всегда проигрываю , Аноним (111), 15:50 , 23-Янв-19, (111) +1
Спасибо исследователю безопасности Max y, jalavan (ok), 21:42 , 23-Янв-19, (121) +1
глаза откройте, у кого они еще есть Уязвимость устранена в v 1 4 9 Для Debian , su (??), 11:20 , 24-Янв-19, (123) –1
Поясните далекому от всего этого http Почему вообще свойства транспорта как-то , Анонымоус (?), 21:24 , 24-Янв-19, (124) –2

Там проблема не в транспорте а в обработчиках и архитектуре апта Из-за ошибки в, Аноним (125), 15:33 , 25-Янв-19, (125) –1

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –8 +/–

Сообщение от Gagauz (?), 22-Янв-19, 23:23

Так так... Ну что страдайте апт гетчики?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –14 +/–

Сообщение от Michael Shigorin (ok), 22-Янв-19, 23:57

Ну поломайте же наконец меня. :]

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +24 +/–

Сообщение от Qwerty (??), 23-Янв-19, 00:13

Нет, Джо.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

117. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от fi (ok), 23-Янв-19, 17:30

А разве у ваших rpm-ок   нет своей подписи ??? Не верю!  rpm еще не пробили.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

126. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (126), 26-Янв-19, 14:49

Если Вас поломают, Вы об этом можете никогда даже не узнать, будучи гением системного администрирования. Но тут многое зависит от того, кто и с какими целями это сделает.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

3. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от rm_ (ok), 22-Янв-19, 23:34

> следует заменить security.debian.org на конкретное зеркало (например, cdn-fastly.deb.debian.org).
Вроде бы security не обязательно заменять, он не использует CDN и редиректы. А вот если у вас был прописан http.debian.net, тот да.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноняшка (?), 22-Янв-19, 23:45

Казалось бы, при чем здесь gentoo...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от irinat (ok), 23-Янв-19, 01:50

Если злоумышленник может сделать MITM, что мешает ему подменить тарбол с исходниками, который ты будешь выкачивать во время выполнения emerge?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

40. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +5 +/–

Сообщение от nE0sIghT (ok), 23-Янв-19, 06:49

> что мешает ему подменить тарбол с исходниками, который ты будешь выкачивать во время выполнения emerge
Хеш тарбола в метаданных portage, очевидно.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

42. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от пох (?), 23-Янв-19, 06:58

а portage ты через /dev/astral скопировал, а не открытым протоколом с левого зеркала смиррорил?
Или они все же поумнели за десять лет?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +2 +/–

Сообщение от nE0sIghT (ok), 23-Янв-19, 07:00

Ты не поверишь. Добро пожаловать в 2019 год, в котором portage синхронизируется с помощью Git.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

94. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от нах (?), 23-Янв-19, 11:23

с зеркала? А чем это мне поможет?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

116. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от captcha 20168 (?), 23-Янв-19, 16:33

цифровой подписью коммита и хешем этого самого коммита

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

119. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от nE0sIghT (ok), 23-Янв-19, 18:15

Это же Git с подписью каждого коммита.
Можно установить автора последнего коммита и, если он - разработчик Gentoo, не беспокоиться.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

59. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Гентушник (ok), 23-Янв-19, 09:43

При обновлении portage он точно так же был проверен по хешу как и другие пакеты.
А первая установка portage была осуществлена с диска (болванки) высланной мне по почте (не электронной).

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

65. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +9 +/–

Сообщение от scor (ok), 23-Янв-19, 10:07

Вот на почте болванку и подменили! Нет у вас методов против Коли^W Почты России!:)

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

71. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Гентушник (ok), 23-Янв-19, 10:24

Всё возможно. Но в цепочке доверия нужно с чего-то начать.
У кого-то это сайт https://gentoo.org, где они скачивают iso/stage и проверяют хэши. Тут доверие зиждется на доверии корневым сертификатам вшитым в браузер (на текущей ОС, а не устанавливаемой).
У меня же это был диск.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

83. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от нах (?), 23-Янв-19, 11:02

у правильной цепочки должно быть не одно возможное начало.
> У кого-то это сайт https://gentoo.org, где они скачивают iso/stage и проверяют хэши.
скачанные с того же самого gentoo.org (кстати, привет от летсшиткрипт)? Васян радостно потирает волосатые лапки.
правильный вариант - когда ключи можно взять не только с диска, а, например, с пачки keyservers - совершенно независимых от gentoo.org

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

99. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от rshadow (ok), 23-Янв-19, 12:06

Самое главное доверие, на котором все держится - это доверие тому что ты нах никому не нужен. (как то двухсмысленно получилось)

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

112. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –1 +/–

Сообщение от нах (?), 23-Янв-19, 15:55

лично ты может и не нужен (хотя твои процессорные мощности могут пригодиться помайнить, сетевые - поддосить) а вот поломав зеркало получить доступ на все системы унылых ло... думающих что они никому не нужны - очень даже ценный улов.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

101. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –1 +/–

Сообщение от Аноним (101), 23-Янв-19, 12:37

> у правильной цепочки должно быть не одно возможное начало.
Это начало какой то замудерённой сети, а не цепочки (ИМХО ;)

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

107. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Гентушник (ok), 23-Янв-19, 13:44

> скачанные с того же самого gentoo.org
Нет. Скачанные с какого-нибудь васянского зеркала, по http, через открытый WiFi.
Для этого и проверяем хэш указанный на https://gentoo.org
Справедливости ради тут я немного облажался, я думал что хэши указаны на сайте gentoo.org, а они лежат тоже на зеркале. Тогда нужно проверить ещё и подпись. А фингерпринты подписей есть тут:
https://www.gentoo.org/downloads/signatures/
> правильный вариант - когда ключи можно взять не только с диска, а,
> например, с пачки keyservers - совершенно независимых от gentoo.org
А как понять какие из ключей на кейсервере верные (принадлежат разработчикам генты)? Посмотреть на gentoo.org? Да, я знаю про Web of Trust, но этим мало кто будет заморачиваться.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

113. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от нах (?), 23-Янв-19, 16:05

> А как понять какие из ключей на кейсервере верные (принадлежат разработчикам генты)?
по простому никак, но ключи меняются редко и обычно с анонсами, их айдишки должны легко находиться гуглем не на васян-сайтах, keyservers должно быть много и не все должны быть с публичным доступом.
то есть подменить-поломать придется не только зеркало репо, что как раз довольно просто, но и какой-нибудь keyserver.gentoo.org (разумеется, им придется озаботиться, если еще не) с авторизацией только для своих. Причем так, чтобы никто из, к примеру, имевших уже свои копии ключей, не спалил подмену и не понял шум.
Если что - я как раз сегодня искал очередной убунтин ключ (поубивал бы этих любителей их менять десять раз на дню), он находится.
Вариант перехвата лично твоего траффика с подменой того и другого оставим для криптопараноиков. weboftrust на мой взгляд заканчивается на первом хопе, потому что у меня нет никакой уверенности в пряморукости, внимательности и аккуратности второго. А инфраструктура gpg по каким-то странным причинам напрочь этого не умеет учитывать.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

96. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –2 +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 11:25

> Всё возможно. Но в цепочке доверия нужно с чего-то начать.
> У кого-то это сайт https://gentoo.org, где они скачивают iso/stage и проверяют хэши.
> хэши
Обожаю форумную криптографию!  Она такая... форумная.  Такая незамутнённая
" .sig-и-то, .sig-и  ихде?! Ась?? "  //да-да... я знал.
> Тут доверие зиждется на доверии корневым сертификатам вшитым в браузер (на
> текущей ОС, а не устанавливаемой).
> У меня же это был диск.
Ну, диску-то можно верить.
Вот так вот смотришь в его Честные Глаза -- и понимаешь:  Можно.
Не то что этим продажным, насквозь поломанным и предающим CA в броузерах.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

103. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от freehck (ok), 23-Янв-19, 13:07

> .sig-и-то, .sig-и  ихде?!
Судя по всему вот они:
https://gentoo.osuosl.org//releases/amd64/20160704/

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

110. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –1 +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 14:15

>> .sig-и-то, .sig-и  ихде?!
> Судя по всему вот они:
> https://gentoo.osuosl.org//releases/amd64/20160704/
Ну, вот. "" //да-да... я знал. ""
Вы там средь своих, гентушников, поучите, поучите молодых-зелёных.
А то ж, вишь ты, они _хеши_ проверяют, а проверять надо подписи.
Также рекомендую утренники-политинформации по темам:
  - " Источники доверия в web-of-trust-е, библейские корни, современный философский взгляд. (просмотр видео) #форумнаякриптография",
  - " почему я ничего не понимаю в криптографии, математике, физике, политэкономике и больше никогда не буду позориться и апломбировать свои фантазии, как авторитетное мнение #форумнаякриптография"
  - " Как ещё лучше и веселее представлять свой дистрибутив и наше Сообщество на публике.  #comedyclub "

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

106. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Гентушник (ok), 23-Янв-19, 13:34

> Обожаю форумную криптографию!  Она такая... форумная.  Такая незамутнённая
> " .sig-и-то, .sig-и  ихде?! Ась?? "  //да-да... я знал.
Там есть файлы с подписями, но они полезны лишь в случае если у человека есть доверие к этим ключам. Если он первый раз устанавливает Генту, то доверия к ключам у него скорее всего не будет (если только он не заядлый пользователь gpg/pgp с кучей лично проверенных ключей).
В противном случае доверие к ключам основывается на факте "ну, этот fingerprint указан на сайте gentoo.org", что не секьюрнее чем хэш, указанный на этом же самом сайте.
Про "проверяют хэши" я говорил о том что исошник можно скачать откуда угодно, хоть с файлопомойки по http, но для того чтобы удостовериться что файл предлагаемый на gentoo.org соответствует тому что ты скачал - нужно проверить хэш.
> Не то что этим продажным, насквозь поломанным и предающим CA в броузерах.
Не знаю с иронией вы это говорите или нет, предположу что нет.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

122. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Я (??), 23-Янв-19, 23:26

https://gentoo.org/support/news-items/2018-01-30-portage-rsy...
> Starting with sys-apps/portage-2.3.21, Portage will verify the Gentoo repository after rsync by default.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

41. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от пох (?), 23-Янв-19, 06:57

а они что, по сей день не научились подписывать свои ебилды? Да ну, не может быть?!
В 2008м-то я помню да, долго плакал, глядя на их "безопастность" с рсинком откуда попало и прочим хламом - при этом тщательно подсчитывающей контрольные суммы исходников. У freebsd, вероятно, скопипастили, там точно такая же глупость и по сей день - тщательнейшим образом тратят ресурсы на ненужно-хэши, предварительно скачав их по открытому svn (правда, там не слишком популярны зеркала).
redhat и клоны к тому моменту уже лет десять как использовали pgp.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

55. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от nE0sIghT (ok), 23-Янв-19, 08:58

> В 2008м-то я помню да, долго плакал
Ну зачем ты слёзы то лил? Ну был же тогда уже emerge-websync с проверкой подписи всего дерева, не?
Да, он был медленнее и по очевидной причине. И кушал больше трафика, но всё же?
Вот я занекрофиндил инфу про него аж 2004 года: https://forums.gentoo.org/viewtopic-t-226263-start-0.html
Мне правда лень искать его ебилды. А в 2014 году он стал модулем portage.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

90. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от нах (?), 23-Янв-19, 11:08

ну как бы костылик наверное уже был (его еще, правда, взять откуда-то надо было, в бустрапных имиджах он не сидел, и узнать о его существовании, при наличии штатных рекомендаций emerge --sync добавить в крон), но я ж говорю - на фоне героических подсчетов сумм каждого архива, которые даже для собственных оверлеев было не отключить (да мля, я это только что оттуда же и взял, хрен ли его считать!) выглядело анекдотом.
(у free, если что, отключалось, не говоря уже про самодостаточные binary packages, не привязанные к дереву портов)

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

108. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +3 +/–

Сообщение от Онанимус (?), 23-Янв-19, 13:46

Контрольная сумма для проверки на побитость, а не для верификации.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

114. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от нах (?), 23-Янв-19, 16:06

ну да, gzip же ж ее не проверяет, ага.
Причем, заметьте - неотключаемая.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

120. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от nE0sIghT (ok), 23-Янв-19, 18:32

> в бустрапных имиджах он не сидел, и узнать о его существовании, при наличии штатных рекомендаций emerge --sync добавить в крон
Сидел он, сидел.
Вот даже в хэндбуке о нём написано было в далёком 2006 году: https://web.archive.org/web/20060410004826/http://www.gentoo...
Правда не в контексте безопасности. Но я где-то в районе 2008-2010 годов на него перешел с emerge --sync. Как раз озадачился безопасностью.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

109. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от irinat (ok), 23-Янв-19, 14:14

> <...> В 2008м-то я помню да <...>
> <...> там точно такая же
> глупость и по сей день - тщательнейшим образом тратят ресурсы на
> ненужно-хэши, предварительно скачав их по открытому svn (правда, там не слишком
> популярны зеркала).
А тебе повезло, что в 2008 ты не сталкивался с кеширующими проксями, от которых иногда приходили битые файлы. Или старые.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

7. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Simion (?), 22-Янв-19, 23:47

# pacman -Syyuu It's the best

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Michael Shigorin (ok), 22-Янв-19, 23:59

Арчеводы вообще-то дружно забили на в чём-то перекликающийся баг, которым им коллега нашёл и зафайлил: https://bugs.archlinux.org/task/45657

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

19. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Аноним (19), 23-Янв-19, 00:39

К ним хоть зашли. А в альт кто-нибудь заходит? Или только выходит?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –3 +/–

Сообщение от Michael Shigorin (ok), 23-Янв-19, 01:22

> К ним хоть зашли.
И хоть в белой шляпе, а не в серой.
> А в альт кто-нибудь заходит? Или только выходит?
Боюсь, Вам уже или к ослику Иа, или к профильному специалисту. :)
PS: что самое смешное, арчик я тоже зеркалил на f.l.k.u.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

12. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (12), 23-Янв-19, 00:04

Получается обновление apt нужно качать через уязвимый apt...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от IdeaFix (ok), 23-Янв-19, 00:07

Зачем? Его можно собрать... :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от анонимус (??), 23-Янв-19, 00:33

Понадобятся шило, ножницы и пластиковая бутылка?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

33. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +4 +/–

Сообщение от Hz (??), 23-Янв-19, 04:20

И фольга.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

44. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от пох (?), 23-Янв-19, 07:02

и зажигалка, а ножницы оставьте неумехам - и без них норм.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

63. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (63), 23-Янв-19, 09:52

За что вы так называете gcc?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

118. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (118), 23-Янв-19, 18:01

> За что вы так называете gcc?
Потому что меня от него прёт

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

26. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +3 +/–

Сообщение от irinat (ok), 23-Янв-19, 01:57

Либо настройками запретить переадресацию, либо воспользоваться security through obscurity, заменив Location: в бинарнике на какую-нибудь другую строку. И никому не говорить, на какую. Формально, уязвимость всё ещё есть, но вот угадать, на что ты там заменил, чтобы сделать атаку под твои системы — чрезвычайно проблематично.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

37. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Shevchuk (ok), 23-Янв-19, 06:32

Можно при этом обновлении отключить перенаправления (источник уязвимости):
$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

56. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от MrClon (ok), 23-Янв-19, 09:02

В новости ведь даже приведён волшебный ключик отключающий уязвимое поведение. Делаешь update && upgrade с -o Acquire::http::AllowRedirect=false, получаешь менее дырявый apt, живёшь спокойно до следующей уязвимости

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

76. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 10:33

> Получается обновление apt нужно качать через уязвимый apt...
Кстати, да!  Я тоже там "наверху" никогда не читаю.
    http://www.opennet.me/openforum/vsluhforumID3/116369.html#75
Я просто сразу иду и пишу всё то же самое "внизу".

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

27. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –5 +/–

Сообщение от Аноним (-), 23-Янв-19, 02:00

> Для загрузки данных из репозитория APT запускает дочерний процесс с реализацией конкретного
> транспорта и организует взаимодействие с этим процессом при помощи простого текстового
> проткола с разделением команд пустой строкой.
Опять синдром NIH и кастомные парсеры - в результате грабли. А ведь можно было использовать какой-нибудь JSON и не обосраться.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +5 +/–

Сообщение от Michael Shigorin (ok), 23-Янв-19, 02:05

> А ведь можно было использовать какой-нибудь JSON и не обосраться.
И где Вы весь такой умный были в девяносто-когда-там-апт-делали...

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (-), 23-Янв-19, 02:13

> в девяносто-когда-там-апт-делали...
Это понятно. Однако любителям изобретать свои "простые текстовые протоколы" стоит мотать на ус.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Crazy Alex (ok), 23-Янв-19, 04:45

Это да. И заодно - борцам с готовыми библиотеками.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

67. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Ю.Т. (?), 23-Янв-19, 10:11

В "90-каком-то" году не было json, и только взлетал xml.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

84. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +5 +/–

Сообщение от freehck (ok), 23-Янв-19, 11:03

>> А ведь можно было использовать какой-нибудь JSON и не обосраться.
> И где Вы весь такой умный были в девяносто-когда-там-апт-делали...
Подрастает уже которое поколение, для которого написать парсер или язык -- невыполнимая задача. Какие там протоколы, lex, yacc... =)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

95. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от CAE (ok), 23-Янв-19, 11:24

lex - это мелко. Вот flex с состояниями без bison - вот это да.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

102. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от freehck (ok), 23-Янв-19, 13:02

> lex - это мелко. Вот flex с состояниями без bison - вот это да.
lex -- это название собирательное. Их ведь много, и для каждого языка своя.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

30. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Аноним (30), 23-Янв-19, 02:15

Apt писали, когда ни ты ещё не родился, ни JSON ещё не придумали. Поэтому, не спросив тебя, взяли стандартный HTTP (который основан на RFC 822, которому сто лет в обед, и что-то стандартнее придумать невозможно, но тебе этого не понять). Но с реализацией таки облажались (как могли облажаться и с JSON, но и этого тебе, похоже, не понять).

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (-), 23-Янв-19, 02:22

> взяли стандартный HTTP
Попробуй потушиться и перечитать, на что отвечаешь. TLDR: к HTTP претензий нет.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +2 +/–

Сообщение от YetAnotherOnanym (ok), 23-Янв-19, 02:35

Вы так свято верите в непогрешимость сторонних парсеров?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

35. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –3 +/–

Сообщение от Crazy Alex (ok), 23-Янв-19, 04:51

Они больше на глазах и, как правило, более "архитектурно" написаны, как и то, что ими парсят. Все эти милые артефакты вроде разделения переводами строк и прочего плейнтекста давно пора хоронить, отползая, как минимум, к надёжным реализациям json, а лучше - к бинарям вроде protobufs с известными или явно указанными длинами, где понятий вроде escape просто нет.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

46. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +2 +/–

Сообщение от пох (?), 23-Янв-19, 07:10

тысячигласс, да.
Как правило они overengineered, bloated и вообще не поддаются анализу.
> Все эти милые артефакты вроде разделения переводами строк и прочего плейнтекста давно пора
> хоронить, отползая, как минимум, к надёжным реализациям json,
кто сказал что они надежны?
> а лучше - к бинарям
ага, чтоб сразу срыв стека при подстановке левого кода (например, как у вас с _очень_ большими числами в качестве длины пакета?)
Вместо того чтобы просто добавить тривиальную проверку что текст таки остается текстом, чего второпях в 96м не сделали. Потому что пакету или url на самом деле совершенно необязательно включать в себя "весь юникод".

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

61. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +2 +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 09:44

> Они больше на глазах и, как правило, более "архитектурно" написаны,
Что,, прям все?  Как http://langsec.org/ проверял?
> надёжным реализациям json, а лучше - к бинарям вроде protobufs с
Как http://langsec.org/ проверял-то7?
> известными или явно указанными длинами, где понятий вроде escape просто нет.
Аминь, веруем, бро.  Нет.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

45. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +6 +/–

Сообщение от пох (?), 23-Янв-19, 07:06

стесняюсь спросить - а в json парсерах не правят раз в месяц очередное "ой мы об третью кавычку споткнулись и внезапно вообще выполнили это как код"?
Я правда не знаю - когда эта модная уродливая технология массово распространилась, мне уже было наплевать на этот опенсорсий, пусть хоть на голове стоят.
А в былые годы любое употребление чего либо из набора libxml*/xslt (ваша предыдущая волшебная таблетка, если вы родиться опоздали) для меня означало что эту программу можно запускать только от nobody, желательно в chroot, желательно на чужой машине.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

54. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от sigprof (ok), 23-Янв-19, 08:42

> Опять синдром NIH и кастомные парсеры - в результате грабли. А ведь можно было использовать какой-нибудь JSON и не обосраться.
Вот только баг в данном случае не в парсере, а в генераторе. Если бы JSON формировали с помощью printf() (ну или, как в данном случае, std::cout << arbitrary_string), было бы то же самое.
Более интересный вопрос - почему проверкой хешей в apt занимается не основной процесс, а обработчик транспорта (видимо, кто-то решил поэкономить ресурсы, чтобы считать хеш прямо в процессе скачивания файла).

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

62. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 09:45

>> Опять синдром NIH и кастомные парсеры - в результате грабли. А ведь можно было использовать какой-нибудь JSON и не обосраться.
// Хотя разлёт обобряю!
> Если бы JSON формировали с помощью printf() (ну или, как в

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

36. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –2 +/–

Сообщение от Аноним (36), 23-Янв-19, 06:02

> Вычислением хэшей для загруженных файлов занимается обработчик транспорта
Зачем тогда было выносить "обработчик транспорта" в отдельный процесс? Зачем общаться с ним по какому-то доморощенному протоколу (в котором наверняка есть ещё тыща дыр)?
По-моему, исследователь не очень искренен в своём анализе — основная проблема здесь не в выборе протокола (HTTP vs HTTPS), а в том что ключевой код проверки сигнатур отдан на откуп обработчику протокола. По такой же логике можно было интегрировать SSL-библиотеку, которая по дефолту разрешает NULL cipher, и спокойно спать, зная что своя задница прикрыта, а какие-то там баги — они не в APT, а в этом злосчастном дырявом TLS!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от пох (?), 23-Янв-19, 07:14

> Зачем тогда было выносить "обработчик транспорта" в отдельный процесс?
unixway, не, не слышали?
давайте запилим уже systemd-aptd, ага. С бинарным протоколом с сразу remote root, если с той стороны приехало что-то странное.
> ключевой код проверки сигнатур отдан на откуп обработчику протокола
этот обработчик часть пакета, а не сторонний код, и вообще-то ему полагается быть надежным - он имеет дело как раз с untrusted input, в отличие от apt.
Хотя решение и странное, поскольку в результате этот код задействуется в трех как минимум разных вместо одного.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

53. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –4 +/–

Сообщение от Аноним (36), 23-Янв-19, 08:28

Одно дело — развивать независимые проекты, предоставляющие другим приложениям стабильные интерфейсы. Другое — искуственно растаскивать единый функционал между "независимыми" бинарниками, общающимися по проприетарному протоколу, который меняется каждую версию. Последним, кстати, особенно грешат разработчики systemd.
Если искуственно разносимый код отвечает за безопасность, то это вообще дикая глупость.
> этот обработчик часть пакета
Вот о том и речь. Нет никакого смысла запускать его в отдельном процессе, если процесс apt ему полностью доверяет и даёт считать хэш-суммы пакетов.
Если бы обработчик действительно был изолированным (а apt сам занимался проверкой целостности), то можно было бы расcчитывать, что при компроментации процесса обработчика, — из-за неверного парсинга или уязвимости в SSL-библиотеке, — apt всё равно отказался бы ставить полученный от него пакет.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

93. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от нах (?), 23-Янв-19, 11:19

> Одно дело — развивать независимые проекты,
в каком месте fileutils, к примеру - "независимые проекты"?
А если вы опоздали родиться, как обычно, так я вам подскажу - это как раз достижение юникса, что они разные, остальные скопипастили через десять лет. А так был один монстр по имени PIP. Peripheral Interchange что-тотам. Вместо ls, cat, cp, mv, rm и чего там еще (правда, аналог ls таки был заалиасен и каждый раз набирать не обязательно - и на том спасибо)
Здесь совершенно намеренно отделены детали технологии - обработка репо от транспортов. https вон по сей день отдельный пакет, поскольку чаще всего ненужно, да еще и дерется с корп-файрволлами.
И никто не мешает запилить свой, если ты решишь что модно, скажем, rsync.
Ну или починить чужой - в б-жественной бубунточке 14 (и в 16 по-моему тоже) сломан ftp, например. Одно дело банальный хелпер подсунуть, который и умеет-то примерно ничего, другое ковырять монолитный код (попробуйте поправить что-нибудь в zypper, хехехе)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

105. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –3 +/–

Сообщение от Michael Shigorin (ok), 23-Янв-19, 13:29

> Одно дело — развивать независимые проекты, предоставляющие
> другим приложениям стабильные интерфейсы.
О, а покажите-ка список того, что Вы _уже_ наархитектурили (и взлетело).  А то вдруг очередное непризнанное юное дарование, теоретически рассуждающее о том, как космические корабли...

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

39. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (39), 23-Янв-19, 06:44

Как можно проверить в куче установленных апт ориентированных дистрибутивов, что все пакеты нормальные ? Может уже давно половину подменили ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Гентушник (ok), 23-Янв-19, 11:06

Развернуть рядом точно такую же систему с такими же пакетами и версиями (список установленных пакетов можно скопировать).
Сравнить два каталога через любимую программу сравнивания файлов (например kdiff3 если надо с gui)
Просмотреть придётся много (особенно конфигов), но по-крайней мере можно будет убедиться в целостности всяких бинарей автоматом.
Все действия естественно выполнять НЕ из исследуемой системы.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

97. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 11:31

> Развернуть рядом точно такую же систему с такими же пакетами и версиями
И обязательно ч-з нескомпрометированный этими пра-а-ативными MITM-ами  Интернет!  Или хотя б через скомпрометированный _другими_, ога.
ВМФ США распростёрает TOR-объятья.  Анонимы не дадут в сарказьм!
> (список установленных пакетов можно скопировать).
> Сравнить два каталога через любимую программу сравнивания файлов (например kdiff3 если
> надо с gui)
> Просмотреть придётся много (особенно конфигов), но по-крайней мере можно будет убедиться
> в целостности всяких бинарей автоматом.
> Все действия естественно выполнять НЕ из исследуемой системы.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

127. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (127), 24-Сен-19, 15:41

Как развернуть такую точно такую же систему с такими же пакетами и версиями?

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

128. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Гентушник (ok), 24-Сен-19, 18:39

> Как развернуть такую точно такую же систему с такими же пакетами и
> версиями?
Готового рецепта не знаю.
Список пакетов с версиями можно вывести через dpkg-query -W
С получением пакетов конкретных версий - сложнее, если дистрибутив свежий и все пакеты актуальные, то можно тупо через apt-get install name1=version1 name2=version2 ...
Если какие-то пакеты уже не свежие, то в теории они все хранятся на snapshot.debian.org
Можно попробовать взять примерную дату когда исходная система последний раз обновлялась и указать её в URL зеркала, типо так:
https://snapshot.debian.org/archive/debian/20091004T111800Z/
Потом установить пакеты через dpkg --get-selections (на исходной системе) и dpkg --set-selections (на эталонной системе)
Пакеты у которых версия не совпала с той что нужно - выкачать и поставить руками.
Если заморочиться, то у snapshot.debian.org есть API, можно написать скрипт для него и выкачать все нужные deb-файлы нужных версий и поставить их через dpkg -i

Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

48. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от odd.mean (ok), 23-Янв-19, 07:19

Для Debian есть прямой workaround, настолько прямой, что меня (Debian GNU/Linux везде кроме смартфона) это не коснулось вообще:
# apt-get install apt-transport-tor
Далее по инструкции: https://guardianproject.info/2016/07/31/howto-get-all-your-d.../

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от ryoken (ok), 23-Янв-19, 07:47

А если подключены ещё пара реп, которые в тор никто не додумался закинуть?
Вот странно, почему по умолчанию apt-transport-https & apt-transpoкt-tor не ставится в дебе...

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

75. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 10:31

> Для Debian есть прямой workaround, настолько прямой,
..., что он написан в новости наверху, он написан в DSA-, он....  ПРЯМООООЙ!!!  ой.
Since the vulnerability is present in the package manager itself, it is recommended to disable redirects in order to prevent exploitation during this upgrade only, using:
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade
--https://www.debian.org/security/2019/dsa-4371

>что меня (Debian GNU/Linux везде

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

91. "Уязвимость в пакетном APT:  DeVUAn хак." +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 11:11

>> Для Debian есть прямой workaround, настолько прямой,
> ..., что он написан в новости наверху, он написан в DSA-, он....
>  ПРЯМООООЙ!!!  ой.
> apt -o Acquire::http::AllowRedirect=false update
> apt -o Acquire::http::AllowRedirect=false upgrade
Гм!  Обновил в своём Devuan ASCII 2.0.
Так как все (пара-другая, потом бросил) попробованные зеркала Devuan-а, включая "Основной" deb.devuan.org, таки-да...
зачем-то редиректили куда-то то .deb-ы, то Release-файлы, ...
и должны были быть обновлены только пакеты apt (всё безопасно ещё со вчера:)), ...
и _эти_ пакеты таки "merged" из донора-Debian-а, ...
то сделал /etc/apt/sources.list-у...  Патч!...
-deb http://deb.devuan.org/merged ascii-security main
+deb http://mirror.yandex.ru/debian-security stretch/updates main
, обновил [apt apt-utils libapt-inst2.0 libapt-pkg5.0]...
и откатил sources.list обратно.

>>что меня (Debian GNU/Linux везде

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

100. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от rshadow (ok), 23-Янв-19, 12:31

Если там какой нить баг окажется, то и следов кто тебе напихал не найти.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

115. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от нах (?), 23-Янв-19, 16:08

ну как будто ты найдешь следы кто поломал какой-нибудь левый репо давно забытый админами яндекса или еще какой хни?

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

57. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –2 +/–

Сообщение от Аноним (57), 23-Янв-19, 09:24

>apt-get install apt-transport-tor
И АНБ вот уже сколько лет ломает всех, кто это юзает. Скажите спасибо Дебиану за бекдор и Убунту, у которой все репы по http.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

70. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (70), 23-Янв-19, 10:19

Соединяюсь с репами по HTTPS и мои волосы мягкие и шелковистые.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Аноним (-), 23-Янв-19, 11:03

>  Соединяюсь с репами по HTTPS и мои волосы мягкие и шелковистые.
Какой попсовый анон нонче пошел.
Ссаными тапками по лицу автору новости. Соединяется по HTTP, и что? Подменили пакет - пофигу. Провели MITM-атаку - тоже пофигу. Все это должно быть не существенно, т.к. верификация пакета должна выявить любое вмешательство, хоть черта лысого!
Уязвимости как раз в реализации механизмов верификации пакета, все остальное - не важно!

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

72. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –1 +/–

Сообщение от Аноним (72), 23-Янв-19, 10:26

Кто-то тут позавчера бил себя пяткой в грудь и кричал что в стабильном релизе нету уязвимостей, потому что он стабильный. Где вы все? Я хочу послушать ваши оправдания.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 10:36

> Кто-то тут позавчера бил себя пяткой в грудь и кричал что в
> стабильном релизе нету уязвимостей, потому что он стабильный.
Потому что их _исправляют_.  Иди туда-вчера и прочитай, что там-тогда написано.  Если не получится -- обратно за букварь.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

78. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –1 +/–

Сообщение от Аноним (72), 23-Янв-19, 10:42

Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исправляли. Багтрекер пестрит критическими уязвимостями в базовых компонентах, которые не правятся годами. Не так давно вылез баг в блендере, так его 2 месяца мариновали прежде чем исправить, хотя там всего-лишь нужно было blender data пересобрать. KDE собран через одно место, чтобы установить один пакет, нужно поставить весь KDE, неоднократно сообщалось в баг-трекер, все тикеты закрывали и удаляли без объяснения причин. В общем доверия к майнтейнерам не осталось никакого.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

79. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –1 +/–

Сообщение от Аноним (72), 23-Янв-19, 10:51

А ещё майнтейнер systemd временно отстранился от майнтенинга этого пакета, так что ожидаем очередной цирк с конями.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

86. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Цирк без коней (?), 23-Янв-19, 11:04

Надо уточнять что именно в дебиан.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

92. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Аноним (92), 23-Янв-19, 11:18

Надо еще уточнять что один из нескольких мантейнеров.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

81. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Аноним (92), 23-Янв-19, 10:58

>Я сижу на дебьяне довольно продолжительное время
Да-да. Мы так и поверили.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

82. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 10:59

> Я сижу на дебьяне довольно продолжительное время, но пока что не видел
> чтобы исправляли. Багтрекер пестрит критическими уязвимостями в базовых компонентах,
Пройдите на.
   https://www.debian.org/security/
   https://lists.debian.org/debian-security-announce/
" Вы там будете слушать. "(ц)

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

88. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Цирк без коней (?), 23-Янв-19, 11:07

>Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исправляли.
Любите опасность?)

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

89. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +/–

Сообщение от Цирк без коней (?), 23-Янв-19, 11:07

"Я сижу на дебьяне довольно продолжительное время, но пока что не видел чтобы исправляли. "
Любите опасность?)

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

80. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +2 +/–

Сообщение от Аноним (92), 23-Янв-19, 10:58

Кто тебе куда бил? Иди регрессию после очередного обновления systemd исправляй, рачешкольник.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

98. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –2 +/–

Сообщение от дебилиан (?), 23-Янв-19, 11:50

а зачем ее исправлять? У полутора пользователей, вздумавших, вот поганцы, лучше Поцтера знать как дожен называться интерфейс, он пару раз попереименуется и потом его модный network-managerd не узнает? notabug, не выпендривайтесь, кушайте ваши ens16023134142

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

111. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от Аноним (111), 23-Янв-19, 15:50

Очередная дырка в Дебиане, всегда проигрываю.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

121. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." +1 +/–

Сообщение от jalavan (ok), 23-Янв-19, 21:42

Спасибо исследователю безопасности Max'y

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

123. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –1 +/–

Сообщение от su (??), 24-Янв-19, 11:20

глаза откройте, у кого они еще есть. Уязвимость устранена в v.1.4.9. Для Debian 9.6. Stable уже не особо актуально

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

124. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –2 +/–

Сообщение от Анонымоус (?), 24-Янв-19, 21:24

Поясните далекому от всего этого http. Почему вообще свойства транспорта как-то повлияли на apt? Есть же подписанный Release, в нем есть хэш Packages, а в нем хэши deb'ов. И что мешает проверить хэш полученного файла? Для того это все и существует, чтобы обнаруживать, пришел ли файл целым и настоящим, или испорченным. Невзирая на то, как он пришел. Чего я не понимаю? Всего?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

125. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..." –1 +/–

Сообщение от Аноним (125), 25-Янв-19, 15:33

Там проблема не в транспорте а в обработчиках и архитектуре апта. Из-за ошибки все проверялось не так как должно. Https уберег бы от этого.

Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	–8 +/–
Сообщение от Gagauz (?), 22-Янв-19, 23:23
Так так... Ну что страдайте апт гетчики?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	–14 +/–
	Сообщение от Michael Shigorin (ok), 22-Янв-19, 23:57
	Ну поломайте же наконец меня. :]
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	15. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+24 +/–
	Сообщение от Qwerty (??), 23-Янв-19, 00:13
	Нет, Джо.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	117. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от fi (ok), 23-Янв-19, 17:30
	А разве у ваших rpm-ок нет своей подписи ??? Не верю! rpm еще не пробили.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	126. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от Аноним (126), 26-Янв-19, 14:49
	Если Вас поломают, Вы об этом можете никогда даже не узнать, будучи гением системного администрирования. Но тут многое зависит от того, кто и с какими целями это сделает.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору

3. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
Сообщение от rm_ (ok), 22-Янв-19, 23:34
> следует заменить security.debian.org на конкретное зеркало (например, cdn-fastly.deb.debian.org). Вроде бы security не обязательно заменять, он не использует CDN и редиректы. А вот если у вас был прописан http.debian.net, тот да.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

5. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
Сообщение от Аноняшка (?), 22-Янв-19, 23:45
Казалось бы, при чем здесь gentoo...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	25. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+1 +/–
	Сообщение от irinat (ok), 23-Янв-19, 01:50
	Если злоумышленник может сделать MITM, что мешает ему подменить тарбол с исходниками, который ты будешь выкачивать во время выполнения emerge?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	40. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+5 +/–
	Сообщение от nE0sIghT (ok), 23-Янв-19, 06:49
	> что мешает ему подменить тарбол с исходниками, который ты будешь выкачивать во время выполнения emerge Хеш тарбола в метаданных portage, очевидно.
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	42. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от пох (?), 23-Янв-19, 06:58
	а portage ты через /dev/astral скопировал, а не открытым протоколом с левого зеркала смиррорил? Или они все же поумнели за десять лет?
	Ответить \| Правка \| ^ к родителю #40 \| Наверх \| Cообщить модератору


	43. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+2 +/–
	Сообщение от nE0sIghT (ok), 23-Янв-19, 07:00
	Ты не поверишь. Добро пожаловать в 2019 год, в котором portage синхронизируется с помощью Git.
	Ответить \| Правка \| ^ к родителю #42 \| Наверх \| Cообщить модератору


	94. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от нах (?), 23-Янв-19, 11:23
	с зеркала? А чем это мне поможет?
	Ответить \| Правка \| ^ к родителю #43 \| Наверх \| Cообщить модератору


	116. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от captcha 20168 (?), 23-Янв-19, 16:33
	цифровой подписью коммита и хешем этого самого коммита
	Ответить \| Правка \| ^ к родителю #94 \| Наверх \| Cообщить модератору


	119. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от nE0sIghT (ok), 23-Янв-19, 18:15
	Это же Git с подписью каждого коммита. Можно установить автора последнего коммита и, если он - разработчик Gentoo, не беспокоиться.
	Ответить \| Правка \| ^ к родителю #94 \| Наверх \| Cообщить модератору


	59. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от Гентушник (ok), 23-Янв-19, 09:43
	При обновлении portage он точно так же был проверен по хешу как и другие пакеты. А первая установка portage была осуществлена с диска (болванки) высланной мне по почте (не электронной).
	Ответить \| Правка \| ^ к родителю #42 \| Наверх \| Cообщить модератору


	65. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+9 +/–
	Сообщение от scor (ok), 23-Янв-19, 10:07
	Вот на почте болванку и подменили! Нет у вас методов против Коли^W Почты России!:)
	Ответить \| Правка \| ^ к родителю #59 \| Наверх \| Cообщить модератору


	71. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+1 +/–
	Сообщение от Гентушник (ok), 23-Янв-19, 10:24
	Всё возможно. Но в цепочке доверия нужно с чего-то начать. У кого-то это сайт https://gentoo.org, где они скачивают iso/stage и проверяют хэши. Тут доверие зиждется на доверии корневым сертификатам вшитым в браузер (на текущей ОС, а не устанавливаемой). У меня же это был диск.
	Ответить \| Правка \| ^ к родителю #65 \| Наверх \| Cообщить модератору


	83. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от нах (?), 23-Янв-19, 11:02
	у правильной цепочки должно быть не одно возможное начало. > У кого-то это сайт https://gentoo.org, где они скачивают iso/stage и проверяют хэши. скачанные с того же самого gentoo.org (кстати, привет от летсшиткрипт)? Васян радостно потирает волосатые лапки. правильный вариант - когда ключи можно взять не только с диска, а, например, с пачки keyservers - совершенно независимых от gentoo.org
	Ответить \| Правка \| ^ к родителю #71 \| Наверх \| Cообщить модератору


	99. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от rshadow (ok), 23-Янв-19, 12:06
	Самое главное доверие, на котором все держится - это доверие тому что ты нах никому не нужен. (как то двухсмысленно получилось)
	Ответить \| Правка \| ^ к родителю #83 \| Наверх \| Cообщить модератору


	112. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	–1 +/–
	Сообщение от нах (?), 23-Янв-19, 15:55
	лично ты может и не нужен (хотя твои процессорные мощности могут пригодиться помайнить, сетевые - поддосить) а вот поломав зеркало получить доступ на все системы унылых ло... думающих что они никому не нужны - очень даже ценный улов.
	Ответить \| Правка \| ^ к родителю #99 \| Наверх \| Cообщить модератору


	101. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	–1 +/–
	Сообщение от Аноним (101), 23-Янв-19, 12:37
	> у правильной цепочки должно быть не одно возможное начало. Это начало какой то замудерённой сети, а не цепочки (ИМХО ;)
	Ответить \| Правка \| ^ к родителю #83 \| Наверх \| Cообщить модератору


	107. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+1 +/–
	Сообщение от Гентушник (ok), 23-Янв-19, 13:44
	> скачанные с того же самого gentoo.org Нет. Скачанные с какого-нибудь васянского зеркала, по http, через открытый WiFi. Для этого и проверяем хэш указанный на https://gentoo.org Справедливости ради тут я немного облажался, я думал что хэши указаны на сайте gentoo.org, а они лежат тоже на зеркале. Тогда нужно проверить ещё и подпись. А фингерпринты подписей есть тут: https://www.gentoo.org/downloads/signatures/ > правильный вариант - когда ключи можно взять не только с диска, а, > например, с пачки keyservers - совершенно независимых от gentoo.org А как понять какие из ключей на кейсервере верные (принадлежат разработчикам генты)? Посмотреть на gentoo.org? Да, я знаю про Web of Trust, но этим мало кто будет заморачиваться.
	Ответить \| Правка \| ^ к родителю #83 \| Наверх \| Cообщить модератору


	113. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+1 +/–
	Сообщение от нах (?), 23-Янв-19, 16:05
	> А как понять какие из ключей на кейсервере верные (принадлежат разработчикам генты)? по простому никак, но ключи меняются редко и обычно с анонсами, их айдишки должны легко находиться гуглем не на васян-сайтах, keyservers должно быть много и не все должны быть с публичным доступом. то есть подменить-поломать придется не только зеркало репо, что как раз довольно просто, но и какой-нибудь keyserver.gentoo.org (разумеется, им придется озаботиться, если еще не) с авторизацией только для своих. Причем так, чтобы никто из, к примеру, имевших уже свои копии ключей, не спалил подмену и не понял шум. Если что - я как раз сегодня искал очередной убунтин ключ (поубивал бы этих любителей их менять десять раз на дню), он находится. Вариант перехвата лично твоего траффика с подменой того и другого оставим для криптопараноиков. weboftrust на мой взгляд заканчивается на первом хопе, потому что у меня нет никакой уверенности в пряморукости, внимательности и аккуратности второго. А инфраструктура gpg по каким-то странным причинам напрочь этого не умеет учитывать.
	Ответить \| Правка \| ^ к родителю #107 \| Наверх \| Cообщить модератору


	96. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	–2 +/–
	Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 11:25
	> Всё возможно. Но в цепочке доверия нужно с чего-то начать. > У кого-то это сайт https://gentoo.org, где они скачивают iso/stage и проверяют хэши. > хэши Обожаю форумную криптографию! Она такая... форумная. Такая незамутнённая " .sig-и-то, .sig-и ихде?! Ась?? " //да-да... я знал. > Тут доверие зиждется на доверии корневым сертификатам вшитым в браузер (на > текущей ОС, а не устанавливаемой). > У меня же это был диск. Ну, диску-то можно верить. Вот так вот смотришь в его Честные Глаза -- и понимаешь: Можно. Не то что этим продажным, насквозь поломанным и предающим CA в броузерах.
	Ответить \| Правка \| ^ к родителю #71 \| Наверх \| Cообщить модератору


	103. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+1 +/–
	Сообщение от freehck (ok), 23-Янв-19, 13:07
	> .sig-и-то, .sig-и ихде?! Судя по всему вот они: https://gentoo.osuosl.org//releases/amd64/20160704/
	Ответить \| Правка \| ^ к родителю #96 \| Наверх \| Cообщить модератору


	110. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	–1 +/–
	Сообщение от Andrey Mitrofanov (?), 23-Янв-19, 14:15
	>> .sig-и-то, .sig-и ихде?! > Судя по всему вот они: > https://gentoo.osuosl.org//releases/amd64/20160704/ Ну, вот. "" //да-да... я знал. "" Вы там средь своих, гентушников, поучите, поучите молодых-зелёных. А то ж, вишь ты, они _хеши_ проверяют, а проверять надо подписи. Также рекомендую утренники-политинформации по темам: - " Источники доверия в web-of-trust-е, библейские корни, современный философский взгляд. (просмотр видео) #форумнаякриптография", - " почему я ничего не понимаю в криптографии, математике, физике, политэкономике и больше никогда не буду позориться и апломбировать свои фантазии, как авторитетное мнение #форумнаякриптография" - " Как ещё лучше и веселее представлять свой дистрибутив и наше Сообщество на публике. #comedyclub "
	Ответить \| Правка \| ^ к родителю #103 \| Наверх \| Cообщить модератору


	106. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+1 +/–
	Сообщение от Гентушник (ok), 23-Янв-19, 13:34
	> Обожаю форумную криптографию! Она такая... форумная. Такая незамутнённая > " .sig-и-то, .sig-и ихде?! Ась?? " //да-да... я знал. Там есть файлы с подписями, но они полезны лишь в случае если у человека есть доверие к этим ключам. Если он первый раз устанавливает Генту, то доверия к ключам у него скорее всего не будет (если только он не заядлый пользователь gpg/pgp с кучей лично проверенных ключей). В противном случае доверие к ключам основывается на факте "ну, этот fingerprint указан на сайте gentoo.org", что не секьюрнее чем хэш, указанный на этом же самом сайте. Про "проверяют хэши" я говорил о том что исошник можно скачать откуда угодно, хоть с файлопомойки по http, но для того чтобы удостовериться что файл предлагаемый на gentoo.org соответствует тому что ты скачал - нужно проверить хэш. > Не то что этим продажным, насквозь поломанным и предающим CA в броузерах. Не знаю с иронией вы это говорите или нет, предположу что нет.
	Ответить \| Правка \| ^ к родителю #96 \| Наверх \| Cообщить модератору


	122. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от Я (??), 23-Янв-19, 23:26
	https://gentoo.org/support/news-items/2018-01-30-portage-rsy... > Starting with sys-apps/portage-2.3.21, Portage will verify the Gentoo repository after rsync by default.
	Ответить \| Правка \| ^ к родителю #42 \| Наверх \| Cообщить модератору


	41. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+/–
	Сообщение от пох (?), 23-Янв-19, 06:57
	а они что, по сей день не научились подписывать свои ебилды? Да ну, не может быть?! В 2008м-то я помню да, долго плакал, глядя на их "безопастность" с рсинком откуда попало и прочим хламом - при этом тщательно подсчитывающей контрольные суммы исходников. У freebsd, вероятно, скопипастили, там точно такая же глупость и по сей день - тщательнейшим образом тратят ресурсы на ненужно-хэши, предварительно скачав их по открытому svn (правда, там не слишком популярны зеркала). redhat и клоны к тому моменту уже лет десять как использовали pgp.
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	55. "Уязвимость в пакетном менеджере APT, позволяющая подменить з..."	+1 +/–
	Сообщение от nE0sIghT (ok), 23-Янв-19, 08:58
	> В 2008м-то я помню да, долго плакал Ну зачем ты слёзы то лил? Ну был же тогда уже emerge-websync с проверкой подписи всего дерева, не? Да, он был медленнее и по очевидной причине. И кушал больше трафика, но всё же? Вот я занекрофиндил инфу про него аж 2004 года: https://forums.gentoo.org/viewtopic-t-226263-start-0.html Мне правда лень искать его ебилды. А в 2014 году он стал модулем portage.
	Ответить \| Правка \| ^ к родителю #41 \| Наверх \| Cообщить модератору