URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 98817
[ Назад ]
Исходное сообщение
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено opennews , 17-Сен-14 23:44
Разработчики Debian (https://www.debian.org/security/2014/dsa-3025) и Ubuntu (http://www.ubuntu.com/usn/usn-2348-1/) выпустили корректирующее обновление пакетного менеджера APT в котором устранено 4 уязвимости, в результате которых можно обойти процесс проверки целостности и источника пакетов:
- CVE-2014-0487 - не выполняется перепроверка загруженных файлов, если при запросе с заголовком If-Modified-Since выдаётся ответ http-сервера (304) о неизменности файла;
- CVE-2014-0490 - не выполняется корректная проверка цифровой подписи, если пакет загружен с использованием команды "apt download";
- CVE-2014-0488 - данные репозитория не признаются недействительными, если репозиторий переключен из состояния без аутентификации в состояние, требующее аутентификации;
- CVE-2014-0489 - опция APT Acquire::GzipIndexes (не включена по умолчанию) приводит к пропуску проверки контрольной суммы.
URL: https://www.debian.org/security/2014/dsa-3025
Новость: http://www.opennet.me/opennews/art.shtml?num=40620
Содержание
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,fi, 23:44 , 17-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,тоже Аноним, 02:09 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 10:56 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,тоже Аноним, 11:24 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,unscrubber3, 06:41 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 22:30 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 23:50 , 17-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,irinat, 00:19 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 01:00 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,chinarulezzz, 01:34 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 22:31 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,chinarulezzz, 01:24 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,anonymus, 09:04 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 01:20 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Michael Shigorin, 03:57 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,the joker, 06:19 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 09:50 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 22:36 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 13:19 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Fierta, 18:32 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,Аноним, 22:32 , 18-Сен-14
- Уязвимость в пакетном менеджере APT, позволяющая обойти пров...,angra, 23:55 , 18-Сен-14
Сообщения в этом обсуждении
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено fi , 17-Сен-14 23:44
Сурово, после стольких лет развития такие проблемы. Пожелаем удачи!
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено тоже Аноним , 18-Сен-14 02:09
Остается пожелать всем только таких проблем.
Для эксплуатации любой из этих уязвимостей нужно иметь права рута в системе. И при этом выполнять нетривиальные действия. Прям-таки решето, что уж там.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 18-Сен-14 10:56
или иметь рута сервере откуда тянут. дыра в apt download - намекает на это.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено тоже Аноним , 18-Сен-14 11:24
Или иметь рута везде и захватить мир.
Вы лично сколько раз скачивали пакеты apt-ом вместо того, чтобы сразу их установить?
Мне лично ни разу не доводилось.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено unscrubber3 , 18-Сен-14 06:41
вы не потрудились вникнуть, либо у вас мелковиндовая линуксофобия.
все 4 описаных бага не возникают при обычной эксплуатации (типа поставил через synaptic/другой GUI менеджер из обычного репозитария чегонибудь).
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 18-Сен-14 22:30
> Сурово, после стольких лет развития такие проблемы. Пожелаем удачи!Парни из Linaro были явно не в курсе этих упущений, просто отключив проверку подписей в раздаваемом ими образе rootfs убунты и прописав свой реп.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 17-Сен-14 23:50
Правильнее: "Разработчики Debian выпустили, а разработчики Ubuntu скопировали...".
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено irinat , 18-Сен-14 00:19
Хватит уже. Разработчики Debian и Ubuntu — это пересекающиеся множества.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 18-Сен-14 01:00
Хватит уже. Разработчики - это Debian. Точка.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено chinarulezzz , 18-Сен-14 01:34
А еще убунту-разработчики коммитят в ядро линукса. И в дебиан патчи присылают https://bugs.debian.org/cgi-bin/pkgreport.cgi?users=ubuntu-d...и вообще, как уже сказали: пересекающиеся множества, т.е. не только с дебиана присылают патчи в убунту и наоборот, а одни и те же разработчики и там и там. Так что выкуси аноним)
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 18-Сен-14 22:31
> Хватит уже. Разработчики - это Debian. Точка.В мире открытых исходников нет жестких границ. Как бы некоторым скудоумым этого ни хотелось.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено chinarulezzz , 18-Сен-14 01:24
>"Разработчики Debian выпустили, а разработчики Ubuntu скопировали...".committers:
David Kalnischkies <kalnischkies@gmail.com> ( https://launchpad.net/~donkult )
Marc Deslauriers marc.deslauriers@canonical.com
Michael Vogt <michael.vogt@ubuntu.com>
Мухахаха :D
P.S. Не удивлюсь если сам пишешь не с дебиана, потому как дебиан-сообществу выгодней взаимодействовать с убунту-сообществом.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено anonymus , 18-Сен-14 09:04
> P.S. Не удивлюсь если сам пишешь не с дебиана,
> потому как дебиан-сообществу выгодней взаимодействовать с убунту-сообществом.Вы имели в виду с сообществом дистрибутива-которого-нельзя-называть?
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 18-Сен-14 01:20
А как там в Alt-linux ?
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Michael Shigorin , 18-Сен-14 03:57
> А как там в Alt-linux ?Проверять надо (у нас производное apt 0.5, отличающееся от него крайне сильно) -- а вообще в #12 написана правда, насколько понимаю.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено the joker , 18-Сен-14 06:19
Ну что ж, обновимся.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 18-Сен-14 09:50
То есть, эта хрень мало того что непонятно от чего то забывает, ключи подписи пакетов, то вспоминает, так ещё и дырявая?
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 18-Сен-14 22:36
> То есть, эта хрень мало того что непонятно от чего то забывает,
> ключи подписи пакетов,Машина - не склеротик, если у вас такие плюхи случаются, у вас что-то очень сильно поломано в вашей системе на самых базовых уровнях работы системы.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 18-Сен-14 13:19
в ubuntu 12.10 постоянно выскакивают сообщения что цифровая подпись пакета не прошла валидацию...
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Fierta , 18-Сен-14 18:32
А может стоит перестать сидеть на уже не поддерживаемой версии? Это же не LTS.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено Аноним , 18-Сен-14 22:32
> в ubuntu 12.10...сдох ваш бобик. LTS который будет долго поддерживаться - 12.04, а у 12.10 закончилась поддержка.
"Уязвимость в пакетном менеджере APT, позволяющая обойти пров..."
Отправлено angra , 18-Сен-14 23:55
А еще можно писать всякую херню в консоли и жаловаться, на постоянные надписи 'command not found'. Добавьте ключи от используемых реп через установку keyring пакетов или apt-key add, после чего сделайте apt-get update