| |
| 2.12, Аноним (-), 06:37, 24/09/2014 [^] [^^] [^^^] [ответить]
| +6 +/– |
Тебя удивляет, что в дистрибутиве обновляются пакеты? Или в чём твоя проблема?
| | |
| |
| 3.20, Аноним (-), 09:05, 24/09/2014 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Тебя удивляет, что в дистрибутиве обновляются пакеты? Или в чём твоя проблема?
Да это криокамера разморозилась - он год в анабиозе лежал и тут до него вдруг дошло что пакеты оказывается иногда надо обновлять.
| | |
|
| 2.17, Xaionaro (ok), 08:03, 24/09/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Как же обновить apt, если apt дырявый?
Вариант 1:
apt-get install apt
--
Вариант 2 (если боитесь уязвимости):
apt-get download --print-uris apt
wget -O /tmp/apt.deb $(apt-get download --print-uris apt | awk '{print $1}' | tr -d "'")
ls -ld /tmp/apt.deb
sha256sum /tmp/apt.deb
dpkg -i /tmp/apt.deb
Если совсем боитесь, то можете сами зайти на зеркало, найти нужный пакет, а также найти его hash-сумму и размер. После этого сделать wget и всё остальное.
Хотя, IMO, неплохо было бы ещё исправить тот факт, что у вас легко эксплуатируют MITM. Например, у нас поднято локальное зеркало (в глобальной сети известное как "ftp.ru.debian.org"), доступ к которому для большинства хостов осуществляется через отдельные vlan-ы с разумно настроенным firewall-ом на gw. И, IMHO, самый простой способ вклиниться, это зломать данный gw (у которого в цепочке INPUT стоит тупо DROP), либо само зеркало.
| | |
| |
| |
| 4.21, Xaionaro (ok), 09:46, 24/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> aptitude
Ну, лично у меня не стоит это… Однако если ближе к делу, то судя по зависимостям, aptitude использует «libapt-pkg». Вы уверены, что он не наследует эту же уязвимость?
| | |
| |
| 5.26, Аноним (-), 11:50, 24/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
Не наследует, уязвимость в бинарниках apt, а не в библиотеке.
В Debian устанавливается по умолчанию.
| | |
| |
| 6.28, Xaionaro (ok), 12:21, 24/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Не наследует, уязвимость в бинарниках apt, а не в библиотеке.
Обычно в таких случаях кидают proof link.
> В Debian устанавливается по умолчанию.
Ну, лично я для себя делаю свои установочники, чтобы не тратить каждый раз время. Догадываюсь, что так делают многие.
| | |
|
|
|
| 3.30, Посторонним В (?), 13:54, 24/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
> И, IMHO,
> самый простой способ вклиниться, это зломать данный gw (у которого в
> цепочке INPUT стоит тупо DROP), либо само зеркало.
Почему самый простой - это именно этот? :-)
| | |
| |
| 4.39, Xaionaro (ok), 21:31, 24/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> И, IMHO,
>> самый простой способ вклиниться, это зломать данный gw (у которого в
>> цепочке INPUT стоит тупо DROP), либо само зеркало.
> Почему самый простой - это именно этот? :-)
А какой способ проще?
| | |
|
| 3.41, Michael Shigorin (ok), 02:16, 25/09/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Вариант 2 (если боитесь уязвимости):
> wget -O /tmp/
Сперва люди пишут в новостях по дыркам такое, затем -- в скрипты, а затем их раньше полоскали в багтраке по статье insecure /tmp use (в данном разе 100% предсказуемое имя файла -- при помощи болтающегося симлинка получается шанс юзеру обеспечить запись от рута содержимого этого apt.deb в любое удобное и уже существующее место)...
Не пишите в каталоги, которые доступны другим пользователям на запись, файлы с предсказуемыми именами. Хотя бы в скриптах. Привычка -- страшная штука.
| | |
| |
| 4.42, Xaionaro (ok), 07:37, 25/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Вариант 2 (если боитесь уязвимости):
>> wget -O /tmp/
> Сперва люди пишут в новостях по дыркам такое, затем -- в скрипты,
> а затем их раньше полоскали в багтраке по статье insecure /tmp
> use (в данном разе 100% предсказуемое имя файла -- при помощи
> болтающегося симлинка получается шанс юзеру обеспечить запись от рута содержимого этого
> apt.deb в любое удобное и уже существующее место)...
> Не пишите в каталоги, которые доступны другим пользователям на запись, файлы с
> предсказуемыми именами. Хотя бы в скриптах. Привычка -- страшная
> штука.
Согласен, я написал хреновый вариант. И я действительно иногда так делаю, хоть это и свойственно только для личных машин (где сильно недоверенных пользователей нет). В общем, благодарю за хорошее замечание. :)
Однако "ls -ld /tmp/apt.deb" (указанный в инструкции) всё-таки объяснил бы что к чему, если бы действительно кто-то воспользовался моментом. Да и "sha256sum /tmp/apt.deb" (тоже упомянутый) чуток полезен для таких ситуаций.
Кроме того это и не надо было воспринимать как точную инструкцию, скорее просто как proof of concept. Я даже не проверил работоспособность данного варианта.
| | |
|
|
| 2.22, Andrey Mitrofanov (?), 10:22, 24/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Как же обновить apt, если apt дырявый?
Если тебя все аттакуют и поставить apt самим apt-том не вариант, то...
Ну, wget-ом по цепочке с проверками всех подписей и хэшеё Release + Releas.gpg + Packages.xz + все .deb. Ты сможешь!
> # apt-get upgrade ...
> Пакеты, которые будут обновлены:
>пт... o_0
Даже и не думай об /var/log/messages и tcpdump -vvi any!
| | |
|
| |
| 2.16, Аноним (-), 07:58, 24/09/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
ну правильно - надо все в тихую делать.. а о дырах не рассказывать. Не за это ли ругают MS?
| | |
|
| 1.24, Аноним (-), 11:26, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
ASCIIZ строки дают о себе знать. Автор наверняка выделил буфер фиксированной длины и что-то не учел. Можно, конечно, постоянно высчитывать длину, выделять память, но на это требуется время, что соответственно сказывается на производительности.
| | |
| 1.31, IMHO (?), 14:11, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 такие новости выпускает фанат Поттеринга, что бы пилить пакетный манеджер еще в системД
| | |
| 1.38, inkvizitor68sl (?), 19:08, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Интересно, а никого не смущает тот факт, что все репозитории работают по http и вместо любого пакета mitm может подложить пакет, меняющий рутовый пароль) ?
| | |
| |
| |
| 3.43, Andrey Mitrofanov (?), 10:51, 25/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> man криптография с открытым ключом
.deb проверяется по размеру, и MD5, и SHA1, и SHA256, и SHA512. Пожелаем успеха предыдущему оратору в генерации подходящей коллизии.
| | |
|
|
|
