В пакетном менеджере APT выявлена новая уязвимость

23.09.2014 22:52

Спустя всего неделю с момента исправления порции уязвимостей в пакетном менеджере APT, для Debian и Ubuntu доступны очередное корректирующее обновление с устранением ещё одной уязвимости (CVE-2014-6273). Проблема вызвана переполнением буфера в коде загрузки данных по протоколу HTTP в apt-get и может привести к организации выполнения кода злоумышленника, который имеет возможность вклиниться в трафик через проведение MITM-атаки (man-in-the-middle).

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/40658-apt

Ключевые слова: apt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (25)

1.2, Аноним (-), 00:42, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
и куда он дальше клиниться будет?

2.19, Аноним (-), 09:04, 24/09/2014 [^] [^^] [^^^] [ответить]	+1 +/–
После выполнения кода? Куда пожелает.

1.10, pavlinux (ok), 06:08, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	–10 +/–
Как же обновить apt, если apt дырявый apt-get upgrade Пакеты, которые ... большой текст свёрнут, показать

2.12, Аноним (-), 06:37, 24/09/2014 [^] [^^] [^^^] [ответить]	+6 +/–
Тебя удивляет, что в дистрибутиве обновляются пакеты? Или в чём твоя проблема?

3.20, Аноним (-), 09:05, 24/09/2014 [^] [^^] [^^^] [ответить]	+5 +/–
> Тебя удивляет, что в дистрибутиве обновляются пакеты? Или в чём твоя проблема? Да это криокамера разморозилась - он год в анабиозе лежал и тут до него вдруг дошло что пакеты оказывается иногда надо обновлять.

4.32, EuPhobos (ok), 16:58, 24/09/2014 [^] [^^] [^^^] [ответить]	+/–
Судя по всему это Jessie/testing

2.17, Xaionaro (ok), 08:03, 24/09/2014 [^] [^^] [^^^] [ответить]

+2 +/–

> Как же обновить apt, если apt дырявый?

Вариант 1:

apt-get install apt

Вариант 2 (если боитесь уязвимости):

apt-get download --print-uris apt
wget -O /tmp/apt.deb $(apt-get download --print-uris apt | awk '{print $1}' | tr -d "'")
ls -ld /tmp/apt.deb
sha256sum /tmp/apt.deb
dpkg -i /tmp/apt.deb

Если совсем боитесь, то можете сами зайти на зеркало, найти нужный пакет, а также найти его hash-сумму и размер. После этого сделать wget и всё остальное.

Хотя, IMO, неплохо было бы ещё исправить тот факт, что у вас легко эксплуатируют MITM. Например, у нас поднято локальное зеркало (в глобальной сети известное как "ftp.ru.debian.org"), доступ к которому для большинства хостов осуществляется через отдельные vlan-ы с разумно настроенным firewall-ом на gw. И, IMHO, самый простой способ вклиниться, это зломать данный gw (у которого в цепочке INPUT стоит тупо DROP), либо само зеркало.

3.18, Аноним (-), 08:46, 24/09/2014 [^] [^^] [^^^] [ответить]	+/–
aptitude

4.21, Xaionaro (ok), 09:46, 24/09/2014 [^] [^^] [^^^] [ответить]	+/–
> aptitude Ну, лично у меня не стоит это… Однако если ближе к делу, то судя по зависимостям, aptitude использует «libapt-pkg». Вы уверены, что он не наследует эту же уязвимость?

5.23, Аноним (23), 10:25, 24/09/2014 [^] [^^] [^^^] [ответить]	+/–
Это вообще просто удобная обвязка.

5.26, Аноним (-), 11:50, 24/09/2014 [^] [^^] [^^^] [ответить]	+/–
Не наследует, уязвимость в бинарниках apt, а не в библиотеке. В Debian устанавливается по умолчанию.

6.28, Xaionaro (ok), 12:21, 24/09/2014 [^] [^^] [^^^] [ответить]

+/–

> Не наследует, уязвимость в бинарниках apt, а не в библиотеке.

Обычно в таких случаях кидают proof link.

> В Debian устанавливается по умолчанию.

Ну, лично я для себя делаю свои установочники, чтобы не тратить каждый раз время. Догадываюсь, что так делают многие.

3.30, Посторонним В (?), 13:54, 24/09/2014 [^] [^^] [^^^] [ответить]	+/–
> И, IMHO, > самый простой способ вклиниться, это зломать данный gw (у которого в > цепочке INPUT стоит тупо DROP), либо само зеркало. Почему самый простой - это именно этот? :-)

4.39, Xaionaro (ok), 21:31, 24/09/2014 [^] [^^] [^^^] [ответить]	+/–
>> И, IMHO, >> самый простой способ вклиниться, это зломать данный gw (у которого в >> цепочке INPUT стоит тупо DROP), либо само зеркало. > Почему самый простой - это именно этот? :-) А какой способ проще?

3.41, Michael Shigorin (ok), 02:16, 25/09/2014 [^] [^^] [^^^] [ответить]

+1 +/–

> Вариант 2 (если боитесь уязвимости):
> wget -O /tmp/

Сперва люди пишут в новостях по дыркам такое, затем -- в скрипты, а затем их раньше полоскали в багтраке по статье insecure /tmp use (в данном разе 100% предсказуемое имя файла -- при помощи болтающегося симлинка получается шанс юзеру обеспечить запись от рута содержимого этого apt.deb в любое удобное и уже существующее место)...

Не пишите в каталоги, которые доступны другим пользователям на запись, файлы с предсказуемыми именами. Хотя бы в скриптах. Привычка -- страшная штука.

4.42, Xaionaro (ok), 07:37, 25/09/2014 [^] [^^] [^^^] [ответить]

+/–

>> Вариант 2 (если боитесь уязвимости):
>> wget -O /tmp/
> Сперва люди пишут в новостях по дыркам такое, затем -- в скрипты,
> а затем их раньше полоскали в багтраке по статье insecure /tmp
> use (в данном разе 100% предсказуемое имя файла -- при помощи
> болтающегося симлинка получается шанс юзеру обеспечить запись от рута содержимого этого
> apt.deb в любое удобное и уже существующее место)...
> Не пишите в каталоги, которые доступны другим пользователям на запись, файлы с
> предсказуемыми именами. Хотя бы в скриптах. Привычка -- страшная
> штука.

Согласен, я написал хреновый вариант. И я действительно иногда так делаю, хоть это и свойственно только для личных машин (где сильно недоверенных пользователей нет). В общем, благодарю за хорошее замечание. :)

Однако "ls -ld /tmp/apt.deb" (указанный в инструкции) всё-таки объяснил бы что к чему, если бы действительно кто-то воспользовался моментом. Да и "sha256sum /tmp/apt.deb" (тоже упомянутый) чуток полезен для таких ситуаций.

Кроме того это и не надо было воспринимать как точную инструкцию, скорее просто как proof of concept. Я даже не проверил работоспособность данного варианта.

2.22, Andrey Mitrofanov (?), 10:22, 24/09/2014 [^] [^^] [^^^] [ответить]

+/–

> Как же обновить apt, если apt дырявый?

Если тебя все аттакуют и поставить apt самим apt-том не вариант, то...

Ну, wget-ом по цепочке с проверками всех подписей и хэшеё Release + Releas.gpg + Packages.xz + все .deb. Ты сможешь!

> # apt-get upgrade ...
> Пакеты, которые будут обновлены:
>пт... o_0

Даже и не думай об /var/log/messages и tcpdump -vvi any!

1.15, Аноним (-), 07:39, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
прилетело, обновили, забыли чо хай то в каментах поднимать ?

2.16, Аноним (-), 07:58, 24/09/2014 [^] [^^] [^^^] [ответить]	–2 +/–
ну правильно - надо все в тихую делать.. а о дырах не рассказывать. Не за это ли ругают MS?

1.24, Аноним (-), 11:26, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
ASCIIZ строки дают о себе знать. Автор наверняка выделил буфер фиксированной длины и что-то не учел. Можно, конечно, постоянно высчитывать длину, выделять память, но на это требуется время, что соответственно сказывается на производительности.

2.27, Аноним (-), 11:51, 24/09/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Но как вы догадались, Холмс?

1.31, IMHO (?), 14:11, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
такие новости выпускает фанат Поттеринга, что бы пилить пакетный манеджер еще в системД

1.38, inkvizitor68sl (?), 19:08, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, а никого не смущает тот факт, что все репозитории работают по http и вместо любого пакета mitm может подложить пакет, меняющий рутовый пароль) ?

2.40, Crazy Alex (ok), 23:15, 24/09/2014 [^] [^^] [^^^] [ответить]	+/–
man криптография с открытым ключом

3.43, Andrey Mitrofanov (?), 10:51, 25/09/2014 [^] [^^] [^^^] [ответить]	+/–
> man криптография с открытым ключом .deb проверяется по размеру, и MD5, и SHA1, и SHA256, и SHA512. Пожелаем успеха предыдущему оратору в генерации подходящей коллизии.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: