LINUX.ORG.RU

ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

 , , , менеджеры пакетов


0

0

Исследователи из Университета штата Аризона в США говорят, что обнаружили уязвимость в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.

Обнаруженный метод не требует получения паролей в систему или хитроумных трюков по обходу механизмов безопасности. Вместо этого, он эксплуатирует саму концепцию распространения бесплатного и открытого программного обеспечения.

Перемещено maxcom из Linux General

>>> Подробности

anonymous

Проверено: Shaman007 ()
Ответ на: комментарий от amoralyrr

В принципе, логика в этом есть, но тут уже большей частью надо давать по ушам девелоперам, чтобы не вносили левые зеркала в списки.

anonymous
()
Ответ на: комментарий от amoralyrr

админам.... девелоперам ....

ЮЗВЕРЯМ надо по башке давать.

не админы же такую статистику набили ;)

есть такая категоря граждан, которые обновляются отовсюду и часто. просто рази обновления

Atmega64
()
Ответ на: комментарий от amoralyrr

> а в новость то это зачем? Уже давно пришли к выводу, что это феерическая ахинея.

С одной стороны ахинея, с другой стороны представь ситуацию, если 99% десктопов на GNU/Linux.

anonymous
()
Ответ на: комментарий от anonymous

>представь ситуацию, если 99% десктопов на GNU/Linux

Сначала представил что 99% во всем мире... красотищща-то какая... :)

fpga
()
Ответ на: комментарий от anonymous

> С одной стороны ахинея, с другой стороны представь ситуацию, если 99% десктопов на GNU/Linux.

Если ты обновляешься с hackyouself.com - это проблема твоя а не разработчика.

r ★★★★★
()
Ответ на: комментарий от anonymous

> С одной стороны ахинея, с другой стороны представь ситуацию, если 99% десктопов на GNU/Linux.

Слышал байку про вирус в Mac OS X : в e-mail содержалось `типа фото`, при открытии фото пользователем ему задавался вопрос, реально ли он хочет запустить этот исполняемый файл. Пользователь жал `да`. Потом его спрашивали пароль администратора - он вводил.

Не знаю правда ли, но тут похожая ситуация.

skwish ★★
()
Ответ на: комментарий от skwish

> тут похожая ситуация.

Мляааааа.. Какие же вы все, сцуко, Ъ! Чего только лоровцы не придумают, лишь бы не сходить по ссылке.

Итак, краткое хауту взлома, для Ъ:

1. Поднять зеркало пакета и попасть в официальный список зеркал. 2. Дождаться уязвимости в публичном сервисе (http, ssh, ssl и т.п.) 3. Воспрепятствовать обновлению уязвленного пакета, попутно вычитывая из логов все обращения за этим пакетом.

В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

> Поднять зеркало пакета

Дистра, само собой...

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Поднять зеркало пакета и попасть в официальный список зеркал.

Debian отпадает, там список зеркал статический на офсайте, редиректов нет, у злоумышленника нет возможности подписать неверный пакет - у него нет приватного ключа. Следовательно, лесом.

SuSE, вроде как тоже (по ссылке ниже). Кто следующий на повестке дня?

JackYF ★★★★
()
Ответ на: комментарий от LamerOk

>В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

Правильно - но это _не софтверная проблема_.

r ★★★★★
()
Ответ на: комментарий от JackYF

> Debian отпадает, там список зеркал статический на офсайте

Каким боком он отпадает? Кто мешает тебе туда попасть? Иди по ссылке ))

> SuSE, вроде как тоже

тестировалось OpenSuSE, по ссылке ниже - не опен.

LamerOk ★★★★★
()
Ответ на: комментарий от r

>>В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

> Правильно - но это _не софтверная проблема_.

Так злые дяди, делающие эксполиты и вирусы - тоже не софтверная проблема. )))

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>тестировалось OpenSuSE, по ссылке ниже - не опен.

open. Механихм обновшения там совершенно одинаковый - отличаются только списки. Сам описанный механизм по ссылке делат атаку невозможной - зеркало которое не синхронно с основным _не учавствует в редиректе_ и дискардится. А энтепрайз версии вообще _только_ с новела обновляются.

r ★★★★★
()
Ответ на: комментарий от r

короче блин опять какие-то роботы родили проблему которая проистекает из их собственного незнания.

r ★★★★★
()
Ответ на: комментарий от LamerOk

Ты чего такой трудный?

Вот же написано:

"Создать подставной сервер обновлений совсем нетрудно. Мы арендовали у провайдера машину и бесплатно разместили на ней зеркала обновлений для дистрибутивов Ubuntu, Fedora, OpenSuse, CentOS и Debian. Судя по серверным журналам, подставным зеркалом воспользовались несколько тысяч пользователей, в том числе и из сетей, принадлежащих военным и правительственным органам", - говорят разработчики метода."

Все, кто обновился -- ССЗБ. На дурака не нужен нож!

Demon37 ★★★★
()
Ответ на: комментарий от LamerOk

>Иди по ссылке ))

По ссылке в основном бред.

Итак, я пользую зеркала ftp.cz.debian.org и debian.org.ua. И что ты со мной сделаешь?

>Кто мешает тебе туда попасть?

Ещё раз, уже четвёртый, наверное. Объясни мне, как злоумышленник, не имея приватного ключа, сможет подписать пакет.

JackYF ★★★★
()
Ответ на: комментарий от r

> Сам описанный механизм по ссылке делат атаку невозможной - зеркало которое не синхронно с основным _не учавствует в редиректе_ и дискардится.

Там есть защита от Slow Retrieval?

LamerOk ★★★★★
()
Ответ на: комментарий от JackYF

>>Иди по ссылке ))

> По ссылке в основном бред.

Иди по правильной ссылке ))

> И что ты со мной сделаешь?

С тобой лично - ничего. Ты лично нафик не нужен. Нужна база уязвимых машин.

>>Кто мешает тебе туда попасть?

> Ещё раз, уже четвёртый, наверное. Объясни мне, как злоумышленник, не имея приватного ключа, сможет подписать пакет.

Ненадо ничего подписывать. Это никому не нужно. Еще раз повторяю медленно и печально:

1. Ты имеешь пакет, представляющий общедоступный сервис, с уязвимостью.
2. Ты обращаешся за обновлением метаинформации на зеркало. (Пусть даже центральное). Ты получаешь ответ, что есть новая версия пакета.
3. Ты обращаеся за _разницей_ между имеющемся пакетом и свежевышедшим на подставное зеркало.
4. Подставное зеркало выдает тебе _настоящий новый пакет_, но по байту в секунду.
5. Пока ты качаешь обновление со скоростью байт в секунду, твой сервис УЖЕ ВЗЛАМЫВАЮТ. Когда обновление будет скачено, в лучшем случае у тебя будет прописан шелл в (x)init, в худшем - руткит.

Ошибка всех менеджеров обновлений в том, что они априори полгают зеркало доверенной зоной, при том, что передают туда полную информацию о всех своих уязвимостях. Это ошибка безопасности в самом дизайне. В статье говориться именно об этом, и о том, каким способом эту угрозу свести к минимуму.

Единственные, кто не подвержен этой угрозе сейчас, те, кто обновляется только с официальных зеркал.

Все ясно? За деталями - по ссылке.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>1. Ты имеешь пакет, представляющий общедоступный сервис, с уязвимостью. 2. Ты обращаешся за обновлением метаинформации на зеркало. (Пусть даже центральное). Ты получаешь ответ, что есть новая версия пакета. 3. Ты обращаеся за _разницей_ между имеющемся пакетом и свежевышедшим на подставное зеркало.

Лечение от уязвимостей, к примеру, в Дебиане, предоставляет один и только один сайт - security.debian.org. Всё. Никаких зеркал by design.

Если же ты установил testing или unstable и при этом используешь неофициальные зеркала - ты дважды ССЗБ.

JackYF ★★★★
()
Ответ на: комментарий от LamerOk

> Подставное зеркало выдает тебе _настоящий новый пакет_, но по байту в секунду.

Так вот "подставное зеркало" может взяться только твоими кривыми руками - списки официальных зеркал публикуются на официальных сайтах дистрибутивов, угу?

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

> Так вот "подставное зеркало" может взяться только твоими кривыми руками - списки официальных зеркал публикуются на официальных сайтах дистрибутивов, угу?

зачем подставное зеркало ? можно же стать официальным зеркалом ради такого дела :)

Eshkin_kot ★★
()
Ответ на: комментарий от amoralyrr

> а в новость то это зачем? Уже давно пришли к выводу, что это феерическая ахинея.

+1

gln0fate ★★
()
Ответ на: комментарий от JackYF

> Если же ты установил testing или unstable и при этом используешь неофициальные зеркала - ты дважды ССЗБ.

Снимись с ручника: подставное зеркало входит в список официальных. А netselect - один из этапов установки.

LamerOk ★★★★★
()
Ответ на: комментарий от no-dashi

>> Подставное зеркало выдает тебе _настоящий новый пакет_, но по байту в секунду.

>Так вот "подставное зеркало" может взяться только твоими кривыми руками - списки официальных зеркал публикуются на официальных сайтах дистрибутивов, угу?

И мое подставное возглавляет этот список. Угу?

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>> Если же ты установил testing или unstable и при этом используешь неофициальные зеркала - ты дважды ССЗБ.

>Снимись с ручника: подставное зеркало входит в список официальных.

А как оно туда попало, можно полюбопытствовать? "Здрасьте, у меня тут есть место на сервере, давайте я буду вашим официальным зеркалом?"

JackYF ★★★★
()
Ответ на: комментарий от LamerOk

>Там есть защита от Slow Retrieval?

Это вообще никаким боком не касается проблемы - покажи как ты это осуществишь.

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Это ошибка безопасности в самом дизайне.

Эта ошибка в политике а не дизайне.

>В статье говориться именно об этом, и о том, каким способом эту угрозу свести к минимуму.

Чем инвалидацией пакетов?

r ★★★★★
()
Ответ на: комментарий от r

>>Там есть защита от Slow Retrieval?

>Это вообще никаким боком не касается проблемы - покажи как ты это осуществишь.

http://www.linux.org.ru/jump-message.jsp?msgid=2938374&cid=2940030

Мда. Читать нынче не в моде. В моде нынче пейсать. Вот что жж и прочие web 2.0 животворящие делают... ))

LamerOk ★★★★★
()
Ответ на: комментарий от r

>>Это ошибка безопасности в самом дизайне.

>Эта ошибка в политике а не дизайне.

Эта политика - единственная приемлемая в некоторых случаях.

>Чем инвалидацией пакетов?

Не понял вопроса.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

Повторяю - это политическая проблема - а не софтовая. Если ты можешь записаться в армию - значит проблема не в том что ты когото можешь пристрелить ввереным тебе оружием а в том что ты можешь записаться в армию.

r ★★★★★
()
Ответ на: комментарий от r

> Повторяю - это политическая проблема - а не софтовая.

И я повторяю. Вирусы и эксполиты - это политическая, социальная, национальная, расовая и религиозная проблемы. Повторять мы оба умеем, один недавний тред это прекрасно проиллюстрировал. xDD

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Эта политика - единственная приемлемая в некоторых случаях.

Тогда эта проблема неразрешима - если нормально апдейтится с враждебных сайтов - чего жаловаться?

>Не понял вопроса.

По ссылке:

In the future:

Use package managers that implement metadata expiration.

Что они предлагают - пользоваться HTTPS вместо HTTP - ну и чем это поможет ? Да ничем.

У них в э той статье все сводится к тому что "а мы будем старые несекурные дырявые версии держать". Ну пусть держат. Ключевое слово обновлятся - если в центральном листинге репозитария написано что пакет версии a.b.c - то этот малишиус репозитарий может засунуть a.b.c-1 в задницу.

Вари анты атаки описаны там как "инсталяция непатченых версий" - что возхможно только в том случае если они непосредственно источник и других нет, и вторая атака - если они недадут апдейтится - что возможно тоже только в указанном случае.

Это притянутый за уши сопротивляющийся осел - если они получат систему которая будет эксклюзивным зеркалом для определенной группы пользователей - это рпоблема идиотов которые так настроили себе системы. Если основной источник метаданных - официален - их зеркало старых версий идет просто в лес.

r ★★★★★
()
Ответ на: комментарий от LamerOk

>>Мляааааа.. Какие же вы все, сцуко, Ъ! Чего только лоровцы не придумают, лишь бы не сходить по ссылке.

>> Итак, краткое хауту взлома, для Ъ: 1. Поднять зеркало пакета и попасть в официальный список зеркал. 2. Дождаться уязвимости в публичном сервисе (http, ssh, ssl и т.п.) 3. Воспрепятствовать обновлению уязвленного пакета, попутно вычитывая из логов все обращения за этим пакетом. В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

Скажем так - в итоге (если дистр - OpenSUSE/Novell/SLED/SLES) - сосёшь ты со своим миррором. Письмо в рассылку security по поводу этой ахинеи:


Date: Tue, 15 Jul 2008 17:10:52 +0200
From: Ludwig Nussel <ludwig.nussel@suse.de>
To: opensuse-security-announce@opensuse.org

[-- PGP output follows (current time: Wed 16 Jul 2008 05:04:35 PM MSD) --]
gpg: Signature made Tue 15 Jul 2008 07:10:52 PM MSD using RSA key ID 3D25D3D9
gpg: Can't check signature: No public key
[-- End of PGP output --]

[-- The following data is signed --]

Dear openSUSE and SUSE Linux Enterprise users,

Several news sites recently published articles citing a report about
attacks on package managers [1]. Some unfortunately chose a wording
that could be misunderstood as if a rogue mirror server could trick
YaST into installing malicious software when applying regular
(security-)updates.

This is not the case. All official update repositories for SUSE
Linux based products use cryptographically signed packages and meta
data. YaST verifies the cryptographic signatures and rejects any
file whose signature doesn't match. Therefore it's not possible for
a rogue mirror to introduce malicious software.

Another problem outlined in the report was that mirror servers could
intentionally serve an old version of the update repository.
Therefore clients using that mirror would not get the latest
security updates and potentially stay vulnerable to known and
presumably already fixed problems.

SUSE already addresses this issue too.
- Firstly, YaST will not automatically downgrade installed packages.
Therefore an outdated repository can not undo an already applied
security fix.
- Secondly, starting with version 10.3 openSUSE uses a central
download redirector that directly serves the meta data. Stale
mirrors are therefore detected immediately. To avoid sending
clients to mirrors that do not have certain files (yet), the
download redirector also continuously monitors it's mirrors. It
only redirects to servers that are known to have the file in
question.

For SUSE Linux enterprise products only servers owned by Novell
are used via secure https connections.

cu
Ludwig

[1] http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attacks-on-pac...

--
(o_ Ludwig Nussel
//\
V_/_ http://www.suse.de/
SUSE LINUX Products GmbH, GF: Markus Rex, HRB 16746 (AG Nuernberg)

sda00 ★★★
()
Ответ на: комментарий от r

> Тогда эта проблема неразрешима - если нормально апдейтится с враждебных сайтов - чего жаловаться?

Проблема как раз разрешима техническими методами. Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно.

> У них в э той статье все сводится к тому что "а мы будем старые несекурные дырявые версии держать". Ну пусть держат. Ключевое слово обновлятся - если в центральном листинге репозитария написано что пакет версии a.b.c - то этот малишиус репозитарий может засунуть a.b.c-1 в задницу.

Пакетменеджеры бывают разные. Очень разные. Там есть примеры и изменения метаданных. Как тебе понравится, если в зависимостях от GNU Utils окажется баговая версия апача, которого у тебя вообще нет?

Ключевое же слово всей работы - до настоящего времени всем было пох на безопасность работы с зеркалами. От себя добавлю, что еще долго будет пох. )) И этот тред - хорошее тому свидетельство. ))

LamerOk ★★★★★
()
Ответ на: комментарий от sda00

> Скажем так - в итоге (если дистр - OpenSUSE/Novell/SLED/SLES) - сосёшь ты со своим миррором.

Скажем так, если новость не про тебя, то ты сосешь с дублированием этого письма в треде третий раз. )) Почему на новость "голубые заражаются спидом" болезненно реагирует так много натуралов? ))

LamerOk ★★★★★
()
Ответ на: комментарий от JackYF

>Debian отпадает, там список зеркал статический на офсайте, редиректов нет, у злоумышленника нет возможности подписать неверный пакет - у него нет приватного ключа. Следовательно, лесом.

Официальные - да. Но вот чтобы поставить, например, cinerella, требуется добавить отдельное зеркало (там как раз cinerella, avidemux2 и что-то еще для работы с видео). Потом ты импортируешь ключ этого зеркала и дальше пройдут любые пакеты с этим ключом.

Если бы пакеты шифровались PGP и ключ для шифровки выдавался только доверенным сайтам, то жизнь была бы проще - создан пакет не для тех ключей, значит идет лесом. Добавил себе левый ключ - ССЗБ.

jackill ★★★★★
()
Ответ на: комментарий от Demon37

>Создать подставной сервер обновлений совсем нетрудно

+1

Как нетрудно в некоторой сетке подменить DNS и воткнуть на свой сервер левые обновления для microsoft.

Конечно, будет ругаться на подпись, но юзверь привык жмакать на кнопку не читая.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно.

Чего чего чего? А если я хочу установить систему определенных версий с определенного устаревшего миррора - мне недадуд это сделать? Если я на более старую железку попытаюсь воткнуть более старый линукс - он долже мне еще в инсталере выпендриться что подпись заэспайрилась?

Именно из-за таких советов эту статью называют феерическим бредом.

>Как тебе понравится, если в зависимостях от GNU Utils окажется баговая версия апача, которого у тебя вообще нет?

Сереьзно? И каким чудом этот пакет вдруг окажется подписанным сертификатом новела?

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Пока ты качаешь обновление со скоростью байт в секунду, твой сервис УЖЕ ВЗЛАМЫВАЮТ. Когда обновление будет скачено, в лучшем случае у тебя будет прописан шелл в (x)init, в худшем - руткит

Зачем так сложно?

>Ошибка всех менеджеров обновлений в том, что они априори полгают зеркало доверенной зоной, при том, что передают туда полную информацию о всех своих уязвимостях.

Не все, а только те, на которые есть ключи.

Закрыть данную дыру очень просто - прописать на все системные пакеты системные репозитории. Будет работать чуть медленнее на этапе инициализации. А механизм выбора с какого репа что качается есть уже года два везде.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Снимись с ручника: подставное зеркало входит в список официальных. А netselect - один из этапов установки.

С чего бы это?

jackill ★★★★★
()
Ответ на: комментарий от jackill

>Потом ты импортируешь ключ этого зеркала и дальше пройдут любые пакеты с этим ключом.

Я ставил mencoder с multimedia. Я _не_ импортировал ключ, я поставил этот пакет без него.

JackYF ★★★★
()
Ответ на: комментарий от jackill

> Если бы пакеты шифровались PGP и ключ для шифровки выдавался только доверенным сайтам

Ну оно так и есть почти у всех уже. К примеру: http://wiki.debian.org/SecureApt

LamerOk ★★★★★
()
Ответ на: комментарий от jackill

> С чего бы это?

С чего бы что? Входит в список зеркал? Перечитай тред и избався от "особой социальной магии".

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

Относительно Debian:

1. Список файлов с информацией о пакетах (Release) в том числе и дата выпуска подписывается (Release.gpg). 2. В этом списке файлов с информацией о пакетах для каждого файла (Packages или Sources) есть SHA1 и MD5 суммы. 3. Для каждого пакета в файле информации есть SHA1 и MD5 суммы.

Таким образом из выше перечисленных уязвимостей Debian подвержен только Slow Retrieval.

Но как ниже перечисленное может решить эту проблему я не понимаю? >Проблема как раз разрешима техническими методами. >Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно.

anonymous
()
Ответ на: комментарий от LamerOk

> Ключевое же слово всей работы - до настоящего времени всем было пох на безопасность работы с зеркалами. От себя добавлю, что еще долго будет пох. )) И этот тред - хорошее тому свидетельство. ))

А вот это не правда, вся система зеркал изначально создавалась в условиях отсутствия доверия к серверам. Отсюда и подписи. Авторы топика облажались со своими призывами лет на десять.

И твой случай - атака на ищущий обновление сервер ничем не лучше простого сканирования сети на предмет уязвимости. Но тут бессилен и один репозиторий как у МС - можно спуффинг сделать.

Тут скорей игра на упережение - обновиться до появления експлойта.

fi ★★★
()
Ответ на: комментарий от LamerOk

Относительно Debian:

1. Список файлов с информацией о пакетах (Release) в том числе и дата выпуска подписывается (Release.gpg).
2. В этом списке файлов с информацией о пакетах для каждого файла (Packages или Sources) есть SHA1 и MD5 суммы.
3. Для каждого пакета в файле информации есть SHA1 и MD5 суммы.

Таким образом из выше перечисленных уязвимостей Debian подвержен только Slow Retrieval.

Но как ниже перечисленное может решить эту проблему я не понимаю?
>Проблема как раз разрешима техническими методами.
>Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно. 

anonymous
()
Ответ на: комментарий от jackill

> Закрыть данную дыру очень просто

По умолчанию она широко открыта на половине инсталляций. И никто не хочет отказываться от зеркал и ддосить центральные репозитарии.

LamerOk ★★★★★
()
Ответ на: комментарий от r

> А если я хочу установить систему определенных версий с определенного устаревшего миррора - мне недадуд это сделать?

Вариант "заставят дать в ручную согласие"/"выстваить опцию в конфиге" ты, разумеется, не рассматриваешь. Это не входит в прием "женский аргумент".

> И каким чудом этот пакет вдруг окажется подписанным сертификатом новела?

Потому что этот пакет был действительно подписан сертификатом новелла. Когда про дыру еще никто не знал.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Вариант "заставят дать в ручную согласие"/"выстваить опцию в конфиге" ты, разумеется, не рассматриваешь.

На импорт ключа я и так даю согласие руками всегда. Экпирейшен к чему приведет - к тому что он меня раз в месяц будет переспрашивть?

[v] - не задавать дурацких вопросов.

>Потому что этот пакет был действительно подписан сертификатом новелла.

А что мы уже научились менять пакеты так чтобы их контрольные суммы совпадали? Или как туда попала зависимость от дырявого апача?

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Все ясно? За деталями - по ссылке.

По ссылке не смогли даже пустой фейковый пакет кому-нибудь подсунуть.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

Относительно Debian:

1. Список файлов с информацией о пакетах (Release) в том числе и дата выпуска подписывается (Release.gpg). 2. В этом списке файлов с информацией о пакетах для каждого файла (Packages или Sources) есть SHA1 и MD5 суммы. 3. Для каждого пакета в файле информации есть SHA1 и MD5 суммы.

Таким образом из выше перечисленных уязвимостей Debian подвержен только Slow Retrieval.

==========================

Some APT repositories sign the root metadata to prevent tampering by an attacker. The signature prevents
an attacker who can not sign the root metadata from substituting arbitrary metadata. However, it does not
prevent an attacker from replaying old metadata. An attacker may, for example, capture the root metadata
from a date when a vulnerable package was released. At some time in the future, well after the package
has been patched, the attacker may replay his captured metadata, causing clients who request the package to
install the vulnerable version.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

> > Так вот "подставное зеркало" может взяться только твоими кривыми руками - списки официальных зеркал публикуются на официальных сайтах дистрибутивов, угу?

> И мое подставное возглавляет этот список. Угу?

Ок. Я жду твоего подставного зеркала на mirrorlist у fedoraproject.org.

no-dashi ★★★★★
()
Ответ на: комментарий от sda00

>Воспрепятствовать обновлению уязвленного пакета, попутно вычитывая из логов все обращения за этим пакетом. В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

Нельзя.

Слабые у нас еще админы.

Вот смотри. Если ты не даешь обновить пакет, у тебя идет тут же нах подписанная мета (у тебя нет ключа). Что в итоге? В итоге сервер переключается на другое зеркало, где пакеты новые.

Если бы мета была неподписана, то машина запросила бы пакет и... и его бы не получила, после чего либо в следующий раз отправилась бы за свежей версией, либо по зависимостям вытянула бы его в другое время. Но мета подписана...

И вот ситуация сферического коня в вакууме - какой-то идиот вычищает у себя все официальные репозитории и ставить фейковый (с чего бы это). И мета неподписана... И сидит он за НАТом. Ну пойди, взломай его. Создай ботнет. Или у него есть сервис, но он отключен. И че?

Читайте спеки, они рулят.

jackill ★★★★★
()
Ответ на: комментарий от jackill

> В итоге сервер переключается на другое зеркало, где пакеты новые. ... И сидит он за НАТом.

И компьютер выключен... Да, слабые у нас еще админы. По части логики. ))

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>И компьютер выключен... Да, слабые у нас еще админы. По части логики. ))

Я и говорю, слабые.

Управляй я отделом ИТ, не взял бы к себе ни одного админа из тех, кто не разобравшись как пытаются атаковать машины статьеписатели и не зная механизма обновления, кричит "пожар, пожар".

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>At some time in the future, well after the package has been patched, the attacker may replay his captured metadata, causing clients who request the package to install the vulnerable version.

Проблема в том, что версия уже установлена...

jackill ★★★★★
()
Ответ на: комментарий от jackill

> Управляй я отделом ИТ

Тебе это не светит, так как ты не понял, о чем кричат. Никто не кричит "пожар" (кроме дебилов с секьюритфокуса и прочих мк). Вежливо говорят тихим и спокойным голосом, что нынешние широко распространенные пакетные менеджеры - полный шлак с точки зрения элементарной безопасноти и имеют феерически тупые баги (см. пост выше). Вот на это ненавязчиво обращают внимание и предлагают некие принципы исправления имеющейся ситуации. Только и всего.

Почему куча народу на лоре вопит "бред", "я крут" и "мне все пох" - я хз. ))

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Вежливо говорят тихим и спокойным голосом, что нынешние широко распространенные пакетные менеджеры - полный шлак с точки зрения элементарной безопасноти и имеют феерически тупые баги (см. пост выше). Вот на это ненавязчиво обращают внимание и предлагают некие принципы исправления имеющейся ситуации. Только и всего.

Пока что не вижу ни одного ответа ни на мои реплики, ни на реплики r_.

Так что прежде чем заявлять тут как ты крут (да еще с таким ником), ты попробуй полностью объяснить все три механизма, учитывая данные комментарии, и не в сферическом пространстве, а в реальной жизни.

И потрудись найти доказательство того, что к этим горепрофи не только стучали, но они смогли хотя бы на своих машинах оставить уязвимые пакеты и как это им помогло.

jackill ★★★★★
()
Ответ на: комментарий от jackill

> Пока что не вижу ни одного ответа ни на мои реплики, ни на реплики r_

Обнови страничку.

> Так что прежде чем заявлять тут как ты крут

Пруфлинк? ))

>да еще с таким ником

Мой ник - это моя любимая часть дисскусии. Ты, я надеюсь, сам догадываешься, что говорит обращение к моему нику о позиции моего оппонента? )))

>опробуй полностью объяснить все три механизма

Скопипасть все пдф-нички? Не слишком ли брутально?

>И потрудись найти доказательство того, что к этим горепрофи не только стучали, но они смогли хотя бы на своих машинах оставить уязвимые пакеты и как это им помогло.

А должно было помочь?

LamerOk ★★★★★
()
Ответ на: комментарий от jackill

> Проблема в том, что версия уже установлена...

И ты "request the package to install the vulnerable version." Правильно - это проблема.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Скопипасть все пдф-нички? Не слишком ли брутально?

Схему в виде майнмаповской картинки осилишь?

Могу тебе сказать, что это очень просто сделать.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>И ты "request the package to install the vulnerable version." Правильно - это проблема.

Т.е. у меня в худшем случае запросится этот же пакет. Это значит, что я уже знаю, что его нужно обновлять. Это значит, что не найдя пакет, я поползу на другое зеркало. Это значит, что я обновлюсь и ты можешь выкинуть свой список в мусор.

Рисуй картинку.

jackill ★★★★★
()
Ответ на: комментарий от jackill

> Т.е. у меня в худшем случае запросится этот же пакет. Это значит, что я уже знаю, что его нужно обновлять. Это значит, что не найдя пакет, я поползу на другое зеркало.

И ты гарантируешь такое поведение для всех пакетных менеджеров, рассмотренных в статье? Или ты распинаешься о каком-то своем отдельно взятом микрософт апдейте?

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

> The signature prevents an attacker who can not sign the root metadata from substituting arbitrary metadata. An attacker may, for example, capture the root metadata from a date when a vulnerable package was released. At some time in the future, well after the package has been patched, the attacker may replay his captured metadata, causing clients who request the package to install the vulnerable version.

То невозможно есть подделать метаданные так, чтобы пакетный менеджер поверил, что старый пакет - на самом деле новый, Тогда как их атака отличается от ситуации с зеркалом, которое долго не обновлялось? Оно может только подсунуть старые пакеты - но, если пакетный менеджер зайдет хоть на одно зеркало с новым пакетом, он оттуда его и скачает.

tailgunner ★★★★★
()
Ответ на: комментарий от LamerOk

>> Debian отпадает, там список зеркал статический на офсайте

> Каким боком он отпадает? Кто мешает тебе туда попасть? Иди по ссылке ))

Попасть в security.debian.org? Выдыхай!

MrKooll ★★★
()
Ответ на: комментарий от LamerOk

>И ты гарантируешь такое поведение для всех пакетных менеджеров, рассмотренных в статье? Или ты распинаешься о каком-то своем отдельно взятом микрософт апдейте?

Слушай, пойди faq пообновляй, а то у меня времени сейчас нет. Больше пользы будет.

Я гарантирую такое поведение для yum и apt-get.

jackill ★★★★★
()
Ответ на: комментарий от tailgunner

> Тогда как их атака отличается от ситуации с зеркалом, которое долго не обновлялось?

Никак. Суть атаки - в преднамеренном оставлении уязвимой версии на машине. Что в сочетании с инфой о машине дает нехилый эффект.

LamerOk ★★★★★
()
Ответ на: комментарий от MrKooll

>>> Debian отпадает, там список зеркал статический на офсайте

>> Каким боком он отпадает? Кто мешает тебе туда попасть? Иди по ссылке ))

>Попасть в security.debian.org? Выдыхай!

Включи остатки мозга и прочитай еще раз исходную инфу.

LamerOk ★★★★★
()
Ответ на: комментарий от jackill

>>И ты гарантируешь такое поведение для всех пакетных менеджеров, рассмотренных в статье?

>Я гарантирую такое поведение для yum и apt-get.

Ну и напрасно, потому что apt-get так себя не ведет. Он не ищет сам зеркала с новыми обновлениями.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Что в сочетании с инфой о машине дает нехилый эффект.

Приблдизительно такой же как старый опрос на лоре - никакого.

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Он не ищет сам зеркала с новыми обновлениями.

Новые не ищет, он проверяет их по списку.

jackill ★★★★★
()
Ответ на: комментарий от r

> Приблдизительно такой же как старый опрос на лоре - никакого.

Ну это смотря кому. Для кого-то, конечно же никакого. Более того, 99% населения планеты даже точный айпишнек с рутовым логином и паролем ничего не даст. Из этого потрясающего факта можно сделать очень далеко идущие выводы... ))

LamerOk ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.