Que perigos têm os furos de segurança de erros do Apt (USN-2348-1)?

Navegue suas respostas
2

Recentemente foram descobertos 4 bugs no Packet Manager Apt (o principal no Ubuntu). Especialmente ruim para 12.04 LTS já que 4 buracos de segurança foram encontrados lá.

A minha pergunta é sobre que perigos têm as falhas de segurança nos bugs do Apt (USN-2348-1)?

As explicações estão no link são bastante breves e apenas o estado

  

Foi descoberto que o APT não voltou a verificar os arquivos baixados quando   If-Modified-Since não foi atendido. (CVE-2014-0487)

     

Descobriu-se que o APT não invalidava os dados do repositório quando   mudou de um estado não autenticado para um estado autenticado.   (CVE-2014-0488)

     

Foi descoberto que a opção APT Acquire :: GzipIndexes causou APT   para pular a validação da soma de verificação. Este problema só se aplica ao Ubuntu 12.04   LTS e Ubuntu 14.04 LTS, e não foi ativado por padrão.   (CVE-2014-0489)

     

Descobriu-se que o APT não validou corretamente as assinaturas quando   manualmente baixando pacotes usando o comando download. Esse assunto   aplicado somente ao Ubuntu 12.04 LTS. (CVE-2014-0490)

Mais informações, ou seja, seguindo para link e, em seguida, tentando ler sobre o bug no link não forneça informações, pois o site launchpad.net é um link inativo.

Uma resposta a essa pergunta seria descrever o que os quatro aspectos de segurança significariam por meio de um exemplo. Também seria interessante saber se os usuários que só usavam apt-get install [packagename] e apt-get update e apt-get dist-upgrade poderiam ter recebido devedores maliciosos ou listas de repositórios.

    
por humanityANDpeace 21.09.2014 / 11:02

2 respostas

3

Esta é minha análise pessoal dos CVEs, leia isto com um grão de sal.

Prefácio: assinando chaves

A maioria dos repositórios assinam digitalmente seus pacotes e listas usando essa chave. Para os repositórios oficiais, as chaves são instaladas junto com o sistema básico. Se você adicionar um repositório manualmente, adicionando-o diretamente ao seu /etc/apt/sources.lst ou /etc/apt/sources.list.d , você precisará adicionar a chave desse repositório manualmente: 

apt-key adv --recv-keys --keyserver keyserver.ubuntu.com ID

ou apt-key add FILE no caso de você ter baixado a chave separadamente.

Não tenho 100% de certeza, mas IMHO ao usar o centro de software ou add-apt-repository , a chave é instalada automaticamente.

Os usuários do Ubuntu que nunca adicionaram um repositório (PPA) ao sistema devem ter todas as chaves necessárias.

Os usuários que realmente usam repositórios sem ter importado uma chave de assinatura veem um aviso ao longo das linhas abaixo ao instalar a partir desses repositórios:

  

Você está prestes a instalar um software que não pode ser autenticado! Fazendo   isso pode permitir que um indivíduo mal-intencionado danifique ou assuma o controle de   seu sistema.

CVE-2014-0487

Se um hash no arquivo Release for alterado, mas o arquivo que está sendo referido pelo arquivo Release será exibido com uma resposta 304 ( link ), o apt ignorou o arquivo atualizado e continuou a usar a versão antiga do arquivo, mesmo que a versão antiga do arquivo não correspondesse ao novo hash.
Source

Se um invasor conseguisse fazer com que você baixasse um pacote mal-intencionado, o invasor poderia fazer com que o sistema usasse os arquivos antigos e mal-intencionados que já haviam sido baixados, em vez de um arquivo mais recente disponível no repositório.

Se você nunca usou repositórios sem ter uma chave de assinatura válida para o repositório, provavelmente não foi afetado.

CVE-2014-0488

Foi descoberto que o APT não invalidou corretamente os dados não autenticados. Imagine que você use um repositório não autenticado. Você baixa / instala / ... os pacotes desse repositório e só depois adiciona uma chave de assinatura para o repositório.

Todos os dados que já foram baixados são mantidos. É teoricamente possível, que você tenha baixado dados forjados, porque no momento em que você não pôde verificar isso (devido à falta de uma chave de assinatura). Agora apt seria capaz de verificar os dados baixados, mas isso não aconteceu. (Em vez disso, também poderia jogar fora todo o conteúdo baixado daquele repositório e baixar o novo, desta vez - com uma chave de assinatura presente - ele poderia verificar os downloads).

Se você nunca usou repositórios sem ter uma chave de assinatura válida para o repositório, provavelmente não foi afetado.

CVE-2014-0489

Existe uma opção chamada Acquire::GzipIndexes no apt. Esta opção desativada por padrão. Veja o que a manpage diz sobre isso: 

   GzipIndexes
       When downloading gzip compressed indexes (Packages, Sources, or
       Translations), keep them gzip compressed locally instead of
       unpacking them.

O problema era que, se você tivesse definido isso como yes, a verificação de soma de verificação não era executada, levando a pacotes potencialmente falsificados sendo baixados / instalados / ...

Nota pessoal: não consegui encontrar se Acquire::CompressionTypes::Order:: "gz"; também ignorou a verificação da soma de verificação.

Se você nunca definir Acquire::GzipIndexes no seu apt.conf, provavelmente não será afetado por esse problema.

CVE-2014-0490

Você pode usar apt-get download para baixar pacotes. Se você fizer isso e não tiver a chave de assinatura do repositório, você fará o download dos pacotes que você não pode verificar a integridade (porque você não tem a chave). Neste caso, o apt deve ter avisado que você está fazendo algo potencialmente inseguro, então você pode pensar duas vezes antes de instalar estes pacotes.
A questão é: apt não percebeu o usuário. Se você nunca usou apt-get download , provavelmente não será afetado por esse problema.

Patches

Clique aqui para ver o patchset relevante para o Debian.

Minhas declarações são puramente informativas, não confie nelas

    
por Jan 25.09.2014 / 13:57
0

Se você estiver usando versões suportadas do Ubuntu, então estas & amp; outras falhas de segurança geralmente são resolvidas prontamente. Então, se segurança & amp; os repos de atualizações são ativados em suas fontes e, em seguida, permanecer atualizado cuidará disso & amp; qualquer outro.

Ex no apt. -

apt (0.8.16 ~ exp12ubuntu10.20.1) segurança precisa; urgência = baixa

  • ATUALIZAÇÃO DE SEGURANÇA:
    • conserta o possível estouro de buffer, graças ao Equipe de segurança do Google (CVE-2014-6273)
  • Corrigir regressão em 0.9.7.9 + deb7u3 quando file: /// sources são utilizados e aqueles que estão em uma partição diferente do que o diretório de estado apt (LP: # 1371058)
  • Reverter a alteração FileFd :: ReadOnlyGzip
  • Corrige a regressão quando Dir :: state :: lists está definido para um caminho relativo

  • Corrigir regressão quando cdrom: sources foi reescrito pelo apt-cdrom add

    - Michael Vogt ter, 23 de setembro de 2014 09:02:26 +0200

apt (0.8.16 ~ exp12ubuntu10.19) segurança precisa; urgência = baixa

  • ATUALIZAÇÃO DE SEGURANÇA:

    • invalidação incorreta de dados não autenticados (CVE-2014-0488)
    • incorre na verificação de 304 respostas (CVE-2014-0487)
    • verificação incorreta dos índices Acquire :: Gzip (CVE-2014-0489)
    • validação incorreta do download do apt-get (CVE-2014-0490)

    - Michael Vogt seg, 15 de setembro de 2014 08:23:20 +0200

Então esses problemas foram corrigidos há algumas semanas

    
por doug 25.09.2014 / 18:44
Virtual device quando iniciado em Genymotion Hangs (Force Close) no Ubuntu 12.04 Procura por arquivos que correspondam a outro nome de arquivo em outra pasta