Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет

если атакующий получил контроль за зеркалом репозитория или способен вклиниться в транзитный трафик между пользователем и репозиторием (MITM-атака)

Это про обход системы подписей пакетов что ли?

Не знаю, но судя по опеннету новость свежая.

Тут самое главное другое: Майкл Библь Systemd

За такие информативные названия тем даже в толксах стоит по мордасам.

Не знаю, совпадение это или нет, но вчера на Reddit был пост

https://www.google.com/amp/s/amp.reddit.com/r/programming/comments/ai9n4k/why...

Ща проверил, в дебиане прилетело обновление безопасности для apt. Так что тема реальная, действительно уязвимость. Не знаю правда насколько она реальная для эксплуатации «на природе».

сколько этих уязвимостей было, то ли ещё будет...

только конечным пользователям — админам, от этого легче не стало, система через чур усложнена чтобы контролировать все происходящие процессы, и чем глубже — тем больше её усложняют. привет, повсеместное внедрение systemd! я думаю это тупо заговор, с целью иметь линуксоидов во все дыры.

поэтому только CRUX, ребята. я точно знаю, что имею BIOS/UEFI -> Linux (EFI_STUB) -> /sbin/init -> /etc/inittab -> /etc/rc.multiuser (rc.conf: for daemon in ${SERVICES[@]}) -> /etc/rc.local. и всё. и больше ничего. дальше демоны, за которые я сам отвечаю, а не горе-мейнтейнеры.

и делая каждый раз prt-get sysup, я точно знаю с каких источников мне прилетают пакеты, если только на уровне BGP мне не подменили маршрутизацию, но это уже проблемы будут не только у меня.

а вот все эти Debian, CentOS, Arch Linux, их всё усложняют-усложняют, а толку? если очередная детская уязвимость супер-дупер продуманном пакетном менеджере. пфф.

щя вот на Gentoo подсел, тоже крутая штука.

поэтому только CRUX, ребята.

задумываюсь о том чтобы переходить на Gentoo, более монструозный комбайн по сравнению с CRUX, ведь CRUX не может жить вечно в таком виде, в каком его задумывали авторы, как в случае с firefox «обстоятельства так сложились»(с), в конце концов, сами авторы не вечны. а потом опять начнётся какая-нибудь свистопляска а-ля «versus systemd», которая в других дистрибутивах уже устаканилась лет дцать назад (к тому моменту). в этом смысле Gentoo жирный мамонт, который существует пару десятков лет, у Gentoo огромное коммунити и вытворять что хочу там попросту не дадут (наверное).
CRUX безусловно всё ещё клёвый дистрибутив чтобы лепить из него что хочешь, но звоночек как говорится прозвенел.

щя вот на Gentoo подсел, тоже крутая штука.

Теперь можно наконец забыть про nano, но не тут-то было. emerge -ac говорит что nano теперь orphan и больше никому не нужен, но при этом тут-же предупреждает что его удаление может сломать систему.
Это конечно здорово, но тут прям какое-то деление на ноль. EDITOR/VISUAL=/usr/bin/vi, nano никем не используется, почему система по прежнему говорит что его нельзя безопасно удалить? Хоть и предлагает это сделать.
not-a-bug, но это следует пофиксить, однако по запросу «nano» в багтрекере gentoo такой проблемы не нашёл, но такая проблема и такой вопрос возник не у меня одного
И кстати, теперь вспомнил за что так не люблю все эти дистрибутивы: у всех мейнтейнеров своё видение какие зависимости нужны к пакетам, какие нет.
К сожалению, Gentoo — это не про минимализм. Установка одного безобидного пакета приводит к дополнительной установке всякого мусора, которую не всегда можно разрулить USE-флагами, как в случае с minimal, но даже в этом случае USE-флаги не являются панацеей т.к. не все пакеты нужны в «minimal». В итоге что имеем, USE="-*", а дальше через package.use каждый пакет настраиваем руками, кхе-кхе.

Ну ок.

А как предлагается накатывать абдейт на дырявый apt, неужели через дырявый apt? А если вручную накатывать скачанный через надёжный канал связи обновлённый apt — не сломает ли он дерево зависимостей в apt и не снесёт ли он полсистемы вместе с apt?

А что мешает накатить и всё дерево зависимостей через тот же надёжный канал?

Ща проверил, в дебиане прилетело обновление безопасности для apt.

Или эксплойт.

XD

да нормалды всё! только приходится считаться с мнением других, кхе-кхе. надо понимать, что Gentoo это дистрибутив, который в конечном счёте предоставляет уже готовое, рабочее окружение. а это значит, что кто-то принял некоторые решения за тебя.

USE-флаги помогают разрулить многое, но не всё. вот например, ставлю кеды в данный момент. plasma-desktop тянет за собой vlc плеер. vlc не нужен для работы кед, а вот мейнтейнер решил, что минимальному десктопу просто необходим vlc. или w3m, ну нафига... ладно.

ставлю кеды последовательно, добавляя по одному USE-флагу. увидел жирнича вроде vlc — поставил сам, вручную, чтобы оно записало его в /var/lib/portage/world, чтоб потом уже выпилить из системы. ну так проще, чем переписывать ebuild'ы.

CRUX никому не нужен, маленькое комунити, пустые репозитории. зато система как LFS, предоставляет полный контроль. она будет стоять на критичных узлах вроде шлюзов в интернет, ну а дальше уже можно Gentoo впихнуть: не менее надёжную, но более удобную в настройке, лишь немного жертвуя гибкостью настройки.

// а на винду не смотри)) просто в зале сижу, а вся подкроватная инфраструктура в сычевальне находится.

абдейт на дырявый apt, неужели через дырявый apt

dpkg -i имяПакета

А если вручную накатывать скачанный через надёжный канал связи обновлённый apt — не сломает ли он дерево зависимостей в apt и не снесёт ли он полсистемы вместе с apt?

А без разницы как скачать - если при апдейте ломается дерево и сносится полсистемы то это в любом случае произойдет. Apt он за зависимостями следит, а не за тем что там в пакете.

CRUX никому не нужен

Да и гента твоя в целом тоже, и lfs в общем то кроме как поиграться больше задач не имеет.

она будет стоять на критичных узлах вроде шлюзов в интернет

На критичных узлах ставят специальные железки. Ну или если софтовое, то точно не чью-то необкатанную персональную поделку.

винда
putty
Ответы @Mail.Ru

Ты зачем спуфинга угнал? :(

персональную поделку

в этом кроется большое заблуждение, что называя CRUX «поделкой» — вы называете «поделкой» сам GNU/Linux.

возьмите linux + bash + coreutils + iproute2 + iptables, разве у вас повернётся язык называть это решетом? ну, если будут уязвимости, их исправят, впрочем проблемы будут не только у вас, они будут у всех, но суть, что такой минимальный набор пакетов не может предвещать ничего плохого.

ну а теперь добавьте к этому ещё архиватор tar, и... вы получаете CRUX ;) вот что такое CRUX.

а что же до железяк. MikroTik. они используют ядро Linux. не вижу оснований не доверять ключевые узлы Linux'у, а значит и CRUX'у.

bash
решето since 1992

разве у вас повернётся язык называть это решетом?

Ну вообще как бы да.

ОЙ ВСЁ

называя CRUX «поделкой» — вы называете «поделкой» сам GNU/Linux

Вы не сможете поставить и использовать GNU/Linux на ПК, вы поставите дистрибутив - ядро и софт. Есть дистрибутивы-конструкторы, типа CRUX, генты и прочего LFS, где вы самостоятельно можете воротить вообще все, что угодно, и именно это и является персональными поделками - в общем случае никто кроме вас не знает что там и как устроено. В противовес - есть дистрибутивы, которые поддерживаются сообществом\компаниями, так что в итоге вы просто выбираете нужные пакеты и правите только ту конфигурацию, которая относится к вашей инсталляции, а сама по себе конфигурация пакета не меняется. Конечно, и из рхела можно сделать слакварь, но в целом ситуация когда один и тот же "готовый" дистрибутив будет на разных машинах содержать собранные по-разному пакеты чрезвычайно редка. Пока все сводится к локалхосту и персональной виртуалке с бложиком - можно там хоть реактос крутить, когда речь заходит о продуктиве с сотнями виртуалок - никому там нафиг эта самодеятельность не нужна.

разве у вас повернётся язык называть это решетом

Вы смотрите на каждый компонент системы по отдельности, я же говорю про систему в целом. Грубо говоря, то что у вас есть файрволл в системе это не значит что вы его правильно настроили.

вот что такое CRUX

А что плохого будет если там будет, скажем, тот же жирный VLC? Да ничего. Просто кто-то экономит каждый байт, и для него это критично, а кто-то понимает что пока он будет по сотни раз мир пересобирать да разбираться с флагами он потеряет больше, чем стоит новый диск и планка памяти. Тут речь не про безопасность вообще. Тот же кали с точки зрения сетевой безопасности куда круче, потому что по дефолту там вообще сеть отключена.

а что же до железяк. MikroTik. они используют ядро Linux.

Ну и, например, в ведроиде ядро Linux, будем роутить трафик через смартфоны? Да и в кофеварках тоже Linux бывает.

не вижу оснований не доверять ключевые узлы Linux'у, а значит и CRUX'у.

А я и не говорю что не стоит доверять Linux или CRUX, я говорю о персональных поделках. MicroTik занимается только сетевыми железками больше двадцати лет. Циска занимается только сетевыми железками больше 30 лет. Вы ровесник этим компаниям, и даже не работаете в IT (если что я совсем не считаю это чем-то плохим, и вот честно, Spoofing, я считаю что ты реально крутой спец и много знаешь). Думаю, нет смысла спорить у кого больше опыта и, как следствие, шансов предусмотреть больше подводных камней и сделать более качественный сетевой шлюз.

В пакетном менеджере APT

поэтому apt-get не выпиливают что сам apt багнутый?

Нет, имхо apt-get потихоньку переносят в apt, но перенесли ещё не полностью.
Например не перенесена команда apt-get source.

да сколько лет уже прошло, неужели так сложно перенести всё?

Ну source может быть и сложно, оно же компиляцией исходников занимается.

я точно знаю, что имею BIOS/UEFI -> Linux (EFI_STUB)

ты забыл упомянуть важное звено одной из точек активации трояна виртуализации между этими двумя компонентами

по умолчанию Debian и Ubuntu используют при обращении к репозиторию HTTP, а не HTTPS

Проорал. Глобально и надёжно! XD

vlc

поменяй на gsteamer и не ной. у меня он vlc не тянет.

ставлю кеды последовательно

Сделай для рабочего окружении отдельный пустой set, например, с именем desktop-env, выполни emerge @desktop-env, перенеси в этот файл соответствующие пакеты из world и выполни на всякий случай emerge -uDNa @world.

Пустой файл сначала делается для того, чтобы он не пенеустанавливал уже установленные пакеты.

И распихивай остальные пакеты по сетам. У меня они названы так system-base, portage-utils, desktop-env, desktop-apps, dev-utils, steam. Файл world при этом пустой.

Думаю, нет смысла спорить у кого больше опыта и, как следствие, шансов предусмотреть больше подводных камней

Дебиану вот 25 лет, а такое вот эпичное решето нашлось

Это как раз не проблема, если нормально реализована проверка хэшей и цифровой подписи

Это как раз не проблема

Я вижу.

Уязвимость устранена в выпуске APT 1.4.9, а также в обновлениях пакетов в Ubuntu и стабильных ветках Debian (Jessie и Stretch)

Принято к сведению

Тут самое главное другое: Майкл Библь Systemd

Где тут? Обсуждали же уже. Или продолжение?

эпичное решето

Вычислением хэшей для загруженных файлов занимается обработчик транспорта, а родительский процесс просто сверяет эти данные с хэшами из базы подписанных пакетов.

Согласен, это эпично. Я не могу вообще придумать почему так сделали. Но это никак не отменяет того факта что если бы Ян(RIP) или кто-то другой тянул Debian эти 25 лет в одну каску таких глупых факапов там было бы на пару порядков больше.

apt-get не выпиливают

Да там для некоторых действий приходится аж aptitude запускать. Такие дела.

кошмар, вся суть deb-based.

Да там для некоторых действий приходится аж aptitude запускать.

Каких?
Ну и можно же просто использовать только aptitude и не знать проблем.

apt update -o Acquire::http::AllowRedirect=false
apt upgrade -o Acquire::http::AllowRedirect=false

Что-то там с обратным поиском зависимостей было, сейчас точно не вспомню. Это, конечно, не самая популярная операция, но когда потребовалось то оказалось что это нормально можно сделать только в aptitude.

можно же просто использовать только aptitude и не знать проблем.

Использую просто apt-get {update,install,upgrade} и тоже проблем не знаю ^_^

щя вот на Gentoo подсел, тоже крутая штука.

так вам фряху надо, вам понравиться полюбас. Только нужное из портов поставите и все будет как вы хотите.

VLC тянет Phonon, вроде. Я там сразу gstreamer выбрал. KDE5/plasma - глюкаво. Пересел на него с LXQT, так кажется, что тот даже стабильней/быстрей был, хоть и недоделан. Может в бинарных дистрибутивах его лучше собирают.