LINUX.ORG.RU

ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

 , , ,


0

0

Исследователи из Университета штата Аризона в США говорят, что обнаружили уязвимость в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.

Обнаруженный метод не требует получения паролей в систему или хитроумных трюков по обходу механизмов безопасности. Вместо этого, он эксплуатирует саму концепцию распространения бесплатного и открытого программного обеспечения.

Перемещено maxcom из Linux General

>>> Подробности

anonymous

Проверено: Shaman007 ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Прозреваю троянчегов в виде rpm ::))

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

а в новость то это зачем? Уже давно пришли к выводу, что это феерическая ахинея.

amoralyrr ★☆ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей (пакет взять из старого официального репозитария, т.е. он будет правильно подписан). Но файлы метаданных заменить на файлы из свежего пакета (например 2.12). В результате менеджер пакетов будет думать, что это новая версия и она правильно подписана.

Это будет работать в случае, если данные и метаданные подписаны отдельно (или метаданные вообще не подписаны). Кто-нибудь может подтвердить или опровергнуть эту уязвимость? И какие системы пакетов на сегодня уязвимы для этого?

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

В принципе, логика в этом есть, но тут уже большей частью надо давать по ушам девелоперам, чтобы не вносили левые зеркала в списки.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Веревку и мыло мне! Если это правда - я не хочу больше жить...

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

причём тут девелоперы? Они как раз левых зеркал не вносят. По мозгам надо админам давать.

amoralyrr ★☆ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Достаточно использовать нормальный менеджер пакетов, такой как pacman: если пакет приутствует в более раннем по списку зеркале, то даже если в следующем зеркале имеется более новая версия, загружен он будет из первого зеркала.

vimmer ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

админам.... девелоперам ....

ЮЗВЕРЯМ надо по башке давать.

не админы же такую статистику набили ;)

есть такая категоря граждан, которые обновляются отовсюду и часто. просто рази обновления

Atmega64 ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Почему критикуют механизм работы систем обновлений? Если вы wget'ом скачаете недоброкачественное ПО, надо ругать разработчиков wget'а? Настройка менеджеров пакетов и других систем обновлений - дело рук пользователя/сисадмина. > ... и все они оказались способны поставить под угрозу безопасность ОС и компьютеров. Пусть исследователи из Аризоны проанализируют кривость рук тех, кто настраивал эти системы.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> Прозреваю троянчегов в виде rpm ::))

Претензии у этих долботрахов кстати как раз ко всему кроме rpm.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> Почему критикуют механизм работы систем обновлений? Если вы wget'ом скачаете недоброкачественное ПО, надо ругать разработчиков wget'а? Настройка менеджеров пакетов и других систем обновлений - дело рук пользователя/сисадмина. > ... и все они оказались способны поставить под угрозу безопасность ОС и компьютеров. Пусть исследователи из Аризоны проанализируют кривость рук тех, кто настраивал эти системы.

Весь вопрос состоит в подписывании метаданных в пакетах. Ничего сложного в этом нет. Ничего особо нужного в этом так же нет. Однако в виду недавнего DNS-poison бага, этот недостаток может оказаться существенным.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> Это будет работать в случае, если данные и метаданные подписаны отдельно (или метаданные вообще не подписаны). Кто-нибудь может подтвердить или опровергнуть эту уязвимость? И какие системы пакетов на сегодня уязвимы для этого?

С yum + rpm прокатить не должно. yum, кажется, не подписывет метаданные, но перед установкой проверяет соответствие данных из пакета метаданным. Кроме того, сам rpm не даст совершить транзакцию с даунгрейдом версии, даже если с точки зрения yum эта версия более новая - сталкивался с таким при ошибках в репозитории.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

А разгадка одна — нефиг тянуть с одного места.

Вот в Gentoo есть список зеркал — проблема (случайная или намеренная) с одним из них — берем со второго и так далее.

Ну а если rsync-зеркало сам руками (netselect его, как я помню, не выбирает, и это правильно) выбрал вредительское — ССЗБ.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

баянисты из Университета штата Аризона в США открыли для себя принцип работы apt и yum

Капитаны Очевидность атакуют! :)

AcidumIrae ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей (пакет взять из старого официального репозитария, т.е. он будет правильно подписан). Но файлы метаданных заменить на файлы из свежего пакета (например 2.12). В результате менеджер пакетов будет думать, что это новая версия и она правильно подписана.

Пользуйтесь официальнвми репозиториями или собирайте сами.

>Поставь виндовс :)))

А если в базу обновлений венды тоже напихать троянчегофф. Темболее у них вон на флешках они зафиксированы.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> а в новость то это зачем? Уже давно пришли к выводу, что это феерическая ахинея.

С одной стороны ахинея, с другой стороны представь ситуацию, если 99% десктопов на GNU/Linux.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> А если в базу обновлений венды тоже напихать троянчегофф. Темболее у них вон на флешках они зафиксированы.

Ага, но там это формально прикрыто антивирусом.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>представь ситуацию, если 99% десктопов на GNU/Linux

Сначала представил что 99% во всем мире... красотищща-то какая... :)

fpga ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

вообще смахивает на сферического коня в вакууме.

вообще то нормальные админы обновляются с официальных репов, да и вроде md5суммы у пакета с другими метаданными никак не должны совпадать

подробностей нада, а то "британские учоные обнаружили ..."

deadbeef ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>ИТ-специалисты критикуют >Исследователи из Университета штата Аризона в США говорят >В исследовании Package Management Security они говорят

бакланы

madcore ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

прочитал... бред какой-то...

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

о.О

а по-подробней они постеснялись описать свои "изыскания"... если честно, слабо вериться - я вот на серваках обновляюсь с официальных репов, да и дома тоже (тока вайн-реп руками добавлял). эта схема с подставными зеркалами сработает, только если организовать недавно обнародованную dns-poison.

OzOx ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Специалисты открыля для себя что такое социальный инжениринг!!! Молодцы! Делаем репозиторий например Firefox и вместе с бравзером пихаем туда трояна, или другие пакеты, СТАРОЙ ВЕРСИИ. Вот и всё млять исследование. Интересно сколько за него денег забашляли? бАШЛЯЙТЕ БАБЛО МНЕ, И Я БУДУ ТАКИЕ уязвимости каждый день находить пачками!

Например уязвимость. Юзерам пришло сообще ние что появилась круттая программа, и качается она с репозиоия deb upyachka.ru/lila lia main Все дружно прописывают мою репу себе в сорсы, и качают себе гадость. Данная уязвимость может считаться критической, и не подлежащей исправлению, ввиду невозможности дать админу утюгом по чайнику, дабы повысить уровень параноидальности.

А если серьёзно, то кто же на боевых серверах левые репы использует? А юзеры за десктопом себе и так вирус скачают и поставят, под видом игрушки новой супер пупер крутой. И сами ему пароль от рута скажут.

Конечно если юзать такую технику с багом в ДНС, который правда уже пофиксили, то реальная опасность получается. Но Его уже пофиксили((((

Кстати есть мнение что именно этот баг и навёл этих типа учёных на эту типо уязвимость)

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

вот новость. "by design" фича - заложена в аналоги СОРМ-2 ВСЕХ стран. и WinUpdate тоже. другое дело, что Man-in-middle в лице СС как Урозу - им не обойти. а вот защиту от третьих сторон - интегрировать бы неплохо. в тч - неплохо для спецслужб.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей (пакет взять из старого официального репозитария, т.е. он будет правильно подписан). Но файлы метаданных заменить на файлы из свежего пакета (например 2.12). В результате менеджер пакетов будет думать, что это новая версия и она правильно подписана

только я не понял каким образом осуществить действие "в репозиторий положить например версию пакета 0.1" , в репах обычно новая версия

да и вроде бы пароль просит везде , обьясните тупому

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

а то что dumb-хэширование(с подписЯми и без) что CRC32 что SHA-хзлюбой - не помогает убедиться в валидности и ЦЕЛОСТНОСТИ полученного контента. и в том, что он - получен, ИМЕННО с апдэйт-зеркала кернел орг или WUP MS.

позитивные искобчения в мире дистрибутивостроения - есть, но они лишь исключения(не будем тыкать пальцами). а вкратце - ассиметричное крипто - вовно полное.

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

феерический бред...

anonymous ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

фигня, надо просто использовать доверенные сервера

Fredy ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Ага. Я года 3-и назад об этом задумывался.

fk_ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Авторов топика в топку. Проблема решена более десяти лет назад.

rpm обычно подписываются и yum проверяет их. Пока не импортируешь ключ с сайта автора, ставить не будет. Этой проблемой озаботились еще когда только делали первые зеркала.

fi ★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Ну конечно, если "Исследователи из Университета Аризона в США" прижимают яйца дверью, то, конечно же, виноваты двери. Данная уязвимость только в мозгах юзеров. Чтобы использовать данную уязвимость, нужно обладать навыками социальной инженерии. А от социальной инженерии никто не защищен на 100%.

Demon37 ★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>Атакующий может абсолютно верно подписать пакеты

Они там совсем с ума посходили? Каким это образом, не имея приватного ключа?

>Соответственно, злоумышленник, создав подставной открытый сервер обновлений (зеркало), сможет при помощи подписей взаимодействовать с менеджерами обновлений.

Вот поэтому apt не поддерживает редиректы и имеет статически список проверенных зеркал. Каким это образом моя система вдруг будет качать обновления с какого-то нового сайта?

Попахивает пиаром, в общем...

JackYF ★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

it-специалисты которые родили это исследование - it-клинические идиоты.

r ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей

И все - на этом можешь остановиться. Суть именно в этом.

r ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> С одной стороны ахинея, с другой стороны представь ситуацию, если 99% десктопов на GNU/Linux.

Если ты обновляешься с hackyouself.com - это проблема твоя а не разработчика.

r ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> Авторов топика в топку. Проблема решена более десяти лет назад.

> rpm обычно подписываются и yum проверяет их.

Yum банально падает от endless data атаки.

LamerOk ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> Данная уязвимость только в мозгах юзеров. Чтобы использовать данную уязвимость, нужно обладать навыками социальной инженерии. А от социальной инженерии никто не защищен на 100%.

Прекрасный пример - твой пост. Тебе не приходит в голову, что половина дистрибутивов в качестве рекомендации предлагает систему автоматического выбора зеркала? Со всеми вытекающими.

LamerOk ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Та жа новость, но чуть более подробно.

Исследователи из Аризонского университета проанализировали 10 наиболее широко распространенных систем автоматического обновления, использующиеся в продуктах с открытым исходным кодом - APT, APT-RPM, Pacman, Portage, Ports, Slaktool, Stork, Urpmi, Yast и YUM. Во всех системах были обнаружены уязвимости, позволяющие предотвратить обновление системы и сохранить на ней ПО с уже известными ошибками безопасности.
В качестве демонстрации, было создано "подставное" зеркало обновлений, которое без труда попал в списки зеркал Ubuntu, Fedora, OpenSuSE, CentOS и Debian, и к которому обращались тысячи компьютеров, в том числие государственных и военных структур.
В статье, которая появится в следующем выпуске "University of Arizona Tech Report", формулируются основные принципы безопасного обновления ПО.

LamerOk ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>в gentoo такое не прокатит.

ТАкое катит везде - даже в венде. Суть уязвимости которую они обнаружили в том что кто-то может создать резитарий со старыми версиями пакетов с известными "злоумышленникам" уязвимостями, листонуться в какой нить вике, подождать пока с них проапдейтяся а потом хакнуть апдейтеров.

Неразрешимый вариант который не является софтверной проблемой 0 работает даже в виндовсе - если ты кладешь старую венду с известынми уязвимостями, ждешь лоха который ее качнет и поставит а потом хакаешь ее - тут уж ниче не решишь на софтверном уроне - ТУТ МОЗГИ ЛЕЧИТЬ НАДО.

r ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

Эти основные принципы излдожены в статье на ZDNET - они предлагают "инвалидировать подписи пакетов на которые вышло обновление". ТАким образом принципиально невозможно поставить старую непатченую версию будет.

о моему это клинический идиотизм или они после последнего курения травы и златания колес в своем универе оклематься до сих пор не могут.

r ★★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>Прекрасный пример - твой пост. Тебе не приходит в голову, что половина дистрибутивов в качестве рекомендации предлагает систему автоматического выбора зеркала? Со всеми вытекающими.

Автоматический выбор новых зеркал без ручной проверки, кто стоит за этим зеркалом? Тогда этой половине дистрибутивов нужно менять такую политику.

JackYF ★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>Прекрасный пример - твой пост.

Я не понял, примером чего является мой пост? Это что ли камень в мой огород?

Demon37 ★★★★ ()

Re: ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>Эти основные принципы излдожены в статье на ZDNET - они предлагают "инвалидировать подписи пакетов на которые вышло обновление". ТАким образом принципиально невозможно поставить старую непатченую версию будет.

>о моему это клинический идиотизм или они после последнего курения травы и златания колес в своем универе оклематься до сих пор не могут.

Ага. А ещё они малесько забывают, что не у всех стоит "самая-распоследняя-что-на-есть" версия дистрибутива, пакетов и т.д.

JackYF ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.