Уязвимость в пакетных менеджерах большинства Linux-систем

Любой бородатый мужик с топором, для американцев, потенциальный партизан.

Феерический бред

круто. Офигенно круто. Ребята накачали обновлений с левых серверов и ещё удивляются. Это как купить диск "Все виндавсы в одном" и удивляться, что там куча троянов и не только. Авторов сгноить в биореакторе, ибо лечить уже поздно.

ну все. теперь точно "галактеко опасносте!". только вот каким образом интересно я скачаю у них что-нить эдакое, если у меня в репах жестко прописано какие зеркала юзать? и какой-то левый сервак я там точно не пропишу.

Не в этом дело. Пакеты подписываются не на зеркале, а, если не ошибаюсь, мантейнером. В дебиане так же подписывается Packages.gz. Любая их модификация вызовет ругань apt'а, yum'а, etc

> Приведем пример: известно, что старые версии OpenSSL, в частности те что поставлялись с Debian Linux, содержат уязвимости, однако с точки зрения ОС эти пакеты абсолютно верны, так как верны их цифровые подписи. Соответственно, злоумышленник, создав подставной открытый сервер обновлений (зеркало), сможет при помощи подписей взаимодействовать с менеджерами обновлений.

4.2. В Debian пакеты не имеют цифровой подписи. Подписывается файл Packages, который содержит версии и хеши пакетов. Как только уязвимый пакет OpenSSL покинул дистрибутив (исчез из Packages), он перестает быть аутентичным.

один чёрт автора в биореактор. Задолбали эти суксес стори о гигантских дырках в линуксе. Каждый месяц появляется какой-нить неосиливший, который кричит "ну всё! Теперь лялиху точно капец!" Причём, в отличии от местной публики, кричит на полном серьёзе.

О-ля-ля! Премия Дарвина заждалась этих эстонских поциэнтов.

Т.е. я могу поднять "кривое зеракло" репозитория, сознательно не обновляя некоторые пакеты. Офигеть какая уязвимость, дайте две!

Жесть.

>Пакеты подписываются не на зеркале, а, если не ошибаюсь, мантейнером.

gentoo: подписываются разработчиком пакета. любое изменение в ебилде/патчах/сырца вызывает ругань portage. я читал что у разработчиков генты есть идея еще всунуть pgp подписи.

PS а что говорить о распространении закрытого софта...

... Спонсор исследования компания Microsoft.

Смысл понятен, но как описали, что звезданутся можно. На самом деле, схема проста, допустим debian-multimedia.org наше хранилище, откуда мы раз в 2 недели обновляемся. И тут система начинает работать против тебя. Злоумышлинник делает вредоносный пакет, каким-то образом ему удается свести md5-сумму, ломает dns-провайдера, меняет IP на нужный. И все, причем все это реально сделать.

Решение проблемы - ssl-скачивание пакетов с trusted-серверов, с корректным сертификатом, проверка подписей на скачку только текущих версий. Проверка md5, sha, как сделали в gentoo. Сверка ip-адреса сервера с "чистой" базой.

> Т.е. я могу поднять "кривое зеракло" репозитория, сознательно не обновляя некоторые пакеты. Офигеть какая уязвимость, дайте две!

Да, но только если вы Петросян.

проще вломиться в серверную и сервер ломом раскорячить

> Задолбали эти суксес стори о гигантских дырках в линуксе.

Британский ученые нашли в человеке 7 потенциально опасных отверстий, по заявлениям тех же ученых у особей женского пола на одну критическую уязвимость больше. Ведущий майнтейнер God пока не планирует выпускать патчи, но умельцы уже разработали латексные воркэраунды.

> у разработчиков генты есть идея еще всунуть pgp подписи.

А чего, разве не "уже"? О_О

> умельцы уже разработали латексные воркэраунды.

Full plate mail круче в разы, проверенное временем и практикой решение.

>> у разработчиков генты есть идея еще всунуть pgp подписи.

>А чего, разве не "уже"? О_О

ссылку?

А если на писать троян и обозвать его "сур-мега-прога" и выложить в открытый доступ, то миллионы леммингов запустят ее в своих виндах, давайте об этом статью напишем...

Чота SMP даже в машины времени проникло, да.

>Slaktool is a project to _improve_ the Slackware package manager

Гы, pkgtools рулят, Патрег воистину БОХ! )))

>Решение проблемы - ssl-скачивание пакетов с trusted-серверов, с корректным сертификатом, проверка подписей на скачку только текущих версий. Проверка md5, sha, как сделали в gentoo. Сверка ip-адреса сервера с "чистой" базой.

ты наркоман штоле? проверяется md5, sha1 и sha256 пакета. хеш записан в пакажес. пакажес подписан. ну поставишь ты левый сервер и что будет?

Слака, как понимаю, не подвержена уязвимости?

Отважными исследователями из Аризоны удалось подобрать коллизии хешей пакетов к дебиановским и федоровским репам и поставить все эти пакеты на кодилак ректора. На большее не хватило мощности турбокальяна. Данные ими в федеральной службе по борьбе с наркотиками по ошибке были приняты за новость.

s/Данные ими в федеральной службе по борьбе с наркотиками по ошибке были приняты за новость/Данные ими в федеральной службе по борьбе с наркотиками показания по ошибке были приняты за новость

> Исследователи из Университета штата Аризона в США говорят, что обнаружили уязвимость в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем.

Исследователи из Университета штата Аризона, судя по всему, редкие тормоза. Об этой проблеме говорили где-то с начала более-менее массового использования автоапдейтилок (это сколько, лет пять назад? или больше?..)

// каптча gassed намекает на причину тормознутости

Я, исследователь, идя тернистыми путями обнаружил во всех сетевых версиях принадлежащей компании Майкрософт операционной системы Windows встроенную критическую уязвимость. Во время доступа к востребованной информации (музыки в формате mp3 и бесплатных программ), злоумышленники устанавливают через Internet Explorer троянское программы и вирусы которые способны поставить под угрозу работу системы и важные данные.
Обнаруженный метод не требует получения паролей в систему или хитроумных трюков по обходу механизмов безопасности. Вместо этого, он эксплуатирует саму концепцию распространения платного и закрытого программного обеспечения.
В своем исследовании я скопировал 10 самых популярных запросов из поисковой системы WAP:
1. Порно 39,98%
2. Халява 28,71%
3. Программное обеспечение (ICQ, jimm, Opera, антивирусные программы)10,69%
4. Геи 3,16%
5. Макsим 2,72%
6. Mail.ru 2,01%
7. Дима Билан 1,53%
8. Yandex 1,44%
9. Nelly Furtado 1,32%
10. Rambler 1,27%,
в том числе и все они оказались способны поставить под угрозу безопасность ОС и компьютеров.

Ученые НИИЛОР обнаружили, что установка программ в линуксе является специально усложненной. В то время, как Windows берет заботу о пользователе на себя, Linux системы задают кучу дополнительных глупых вопросов, вроде: "Вы действительно хотите установить программу из неавторизованного репозитория? [y/N]" заставляя пользователя не просто нажать [Enter], но еще и ввести букву [Y]! или же еще страшнее и запутаннее: "Конфигурация пакета отличается от предоставляемой по умолчанию, оставить текущий вариант?[целая куча вариантов по обновлению конфига]"

Анонимный отдел НИИЛОР пророчит линкапец в скором будущем.