LINUX.ORG.RU

ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

 , , , менеджеры пакетов


0

0

Исследователи из Университета штата Аризона в США говорят, что обнаружили уязвимость в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.

Обнаруженный метод не требует получения паролей в систему или хитроумных трюков по обходу механизмов безопасности. Вместо этого, он эксплуатирует саму концепцию распространения бесплатного и открытого программного обеспечения.

Перемещено maxcom из Linux General

>>> Подробности

anonymous

Проверено: Shaman007 ()

Ответ на: комментарий от jackill

> Давай определимся. Сначала ты говорил, что все системы подвержены.

Пруфлинк.

>Потом, что только часть.

Пруфлинк на "потом".

>Далее ты мазал одной краской всех пользователей

Пруфлинк.

> , теперь только "пользователей системы" - юзеры десктопов?

Нет. Теперь я "мажу одной краской" только пользователей с автоматическим выбором зеркала. Это то, о чем говорят авторы статьи, которую ты, понятное дело, не читал.

Вывод: ты вообще не понял, о чем идет речь. Трава/грибы или ФГМ?

LamerOk ★★★★★
()
Ответ на: комментарий от jackill

> Т.е. вымученно что-то пытались сделать, но ни один пакет подменить не удалось.

Пройди уже по Ъ ссылке и прочти английским в ASCII, что они вообще этого не делали. Подмены пакета и дискредитации цифровой подписи там нет.

LamerOk ★★★★★
()

Ещё инфа пришла:

-------------
In general, the preconditions for these attacks are a man-in-the-middle between the user and the repository or a compromised repository listed in the user's sources.list. Any recent version of apt or debian will be susceptible, as far as our testing has shown. As far as we know, our mirror was not used for default installations and was only available for manual selection by users from the list
at http://www.debian.org/mirror/list-full . It may have also been available through using tools such as netselect. In general, any source that is choosing from the same mirrors that are listed at the above url (which may or may not be listed at other locations on the debian site).
-------------

JackYF ★★★★
()
Ответ на: комментарий от LamerOk

>Лично мне никакой мысли в дальнейшем потоке сознания найти не удалось. И ты так и не объяснил, при чем тут кластеры каких-то серверов...

Конечно, не удалось. Ты же читал, видимо, под мухой. Где я писал про кластеры?

Тебе четко написали, что даже если есть сервер обновлений и одна машина в изолированной сети, она не заберет твое старое обновление.

Подменять файлы ты не можешь.

Если у тебя несколько серверов обновлений в инете, машина полезет за самым свежим.

Ты правда не понимаешь или косишь под дурачка?

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Что в сочетании с инфой о машине дает нехилый эффект.

Приблдизительно такой же как старый опрос на лоре - никакого.

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Пройди уже по Ъ ссылке и прочти английским в ASCII, что они вообще этого не делали. Подмены пакета и дискредитации цифровой подписи там нет.

Я прочитал. Это было их первое предположение.

Ты сам-то читаешь как, со словарем через слово?

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Пруфлинк.

Т.е. ты не считаешь, что системы подвержены атакам. Если не считаешь, что здесь сидишь? Уже займись делом, обновления поставь.

>Это то, о чем говорят авторы статьи, которую ты, понятное дело, не читал.

Которую я читал несколько раз, думая, я дебил или они. Похоже, что они.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>только пользователей с автоматическим выбором зеркала.

У всех пользователей зеркала выбираются автоматически.

И этот выбор не дает им проставить старую версию.

Я знаю, как работает часть пакетных менеджеров. А ты, похоже, нет.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Он не ищет сам зеркала с новыми обновлениями.

Новые не ищет, он проверяет их по списку.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Ну может ты сам погуглишь багтреки у сабжевых дистров? Или тебя надо за ручку по всему интернету водить?

А что гуглить-то. Открываем ЛОР и смотрим. Очень мало.

Вспоминаю федору, менялся bind.

jackill ★★★★★
()
Ответ на: комментарий от jackill

> даже если есть сервер обновлений и одна машина в изолированной сети, она не заберет твое старое обновление.

Завязывай с наркотиками. Я еще раз специально для тебя "четко" напишу: суть атаки в воспрепятсвовании установки обновления. Если тебе не понятно одно из слов "воспрепятствовать", "установка" или "обновление", обратись за помощью в форум.

LamerOk ★★★★★
()
Ответ на: комментарий от r

> Приблдизительно такой же как старый опрос на лоре - никакого.

Ну это смотря кому. Для кого-то, конечно же никакого. Более того, 99% населения планеты даже точный айпишнек с рутовым логином и паролем ничего не даст. Из этого потрясающего факта можно сделать очень далеко идущие выводы... ))

LamerOk ★★★★★
()
Ответ на: комментарий от jackill

> У всех пользователей зеркала выбираются автоматически.

Че за бред?

> Я знаю, как работает часть пакетных менеджеров. А ты, похоже, нет.

А предположить, что я знаю, как работает другая часть пакетных менеджеров - выше твоего интеллекта? ))

LamerOk ★★★★★
()
Ответ на: комментарий от jackill

>>apt or debian

> Это как, простите?

Для тебя сюрприз, что апт используется более чем в одном дистрибутиве?

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

Подведем резюме) Данная уязвимость возникает только если добавить подставное зеркало вручную в sources.list. Или же при автоматическом выборе зеркала есть вероятность получить подставное. Следовательно проблема ССЗБ) Выбирайте репы вручную и используйте центральные,стары е и проверенные и тд и тп.

anonymous
()
Ответ на: комментарий от r

>>our mirror was not used for default installations and was only available for _manual selection by users_ from the list

>Трындец атакеры.

Это да. Остаётся вариант с netselect-apt'ом (кстати, проверьте кто может - запустите "sudo netselect-apt -o netsel.out" и посмотрите, одно оно зеркало туда запихало или нет). Если там два или больше зеркал - атакерам трындец полный, если одно - есть маленькая вероятность, что оно-таки туда попадёт. Хотя, опять-таки, вопрос в том, сколько проживёт зеркало, не соответствующее главному хоть в одном пакете - вилами по воде писано. Боюсь, недолго - пару дней от силы.

В любом случае я для себя сделал выводы, что всякие левые зеркала в sources.list не пихать (по крайней мере ftp.*.debian.org - несколько десятков вариантов для разных стран - есть из чего выбирать) и можно дальше спокойно жить.

JackYF ★★★★
()
Ответ на: комментарий от JackYF

> Боюсь, недолго - пару дней от силы.

Для того, чтобы воспользоваться некоторыми уязвимостями, достаточно минуты. ))

> всякие левые зеркала в sources.list не пихать (...) и можно дальше спокойно жить.

Вывод, в целом, правильный.

LamerOk ★★★★★
()

Gentoo mirror security

А давайте гентушные зеркала обсудим!

Работает-ли FEATURES="gpg"?

Как насчёт emerge-delta-webrsync который дельты вместе с их сигнатурами тупо тянет с одного и того же зеркала?

anonymous
()
Ответ на: комментарий от LamerOk

>Для того, чтобы воспользоваться некоторыми уязвимостями, достаточно минуты. ))

Какие мы оптимистичные.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Диагноз ясен. Закапывайте.

Ты все никак не закопаешься, что ли?

У тебя статистика есть по уязвимостям, найденным в vanilla-версиях и работающих в дистрибах?

Я тебе скажу, что в той же fedora не работает три четверти. А на лор пишутся самые крупные и опасные.

Локальные говнопадения тут никому не впились - их не использовать никак.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Для тебя сюрприз, что апт используется более чем в одном дистрибутиве?

Для меня сюрприз сравнивать в предложении менеджер обновлений и дистрибутив.

Я так же могу сравнить ложку и набор посуды.

Точно логику учил?

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>А предположить, что я знаю, как работает другая часть пакетных менеджеров - выше твоего интеллекта? ))

Я в астрале не сижу. Но судя по всему ты знаешь вообще очень мало.

jackill ★★★★★
()
Ответ на: комментарий от LamerOk

>Я еще раз специально для тебя "четко" напишу: суть атаки в воспрепятсвовании установки обновления. Если тебе не понятно одно из слов "воспрепятствовать", "установка" или "обновление", обратись за помощью в форум.

Пишу тебе еще раз, если машина ЗНАЕТ об обновлении и НЕ НАХОДИТ его на сервере, она ПЕРЕКЛЮЧАЕТСЯ на другое зеркало.

Я проверял на yum.

Вопросы есть?

jackill ★★★★★
()
Ответ на: комментарий от jackill

>>Че за бред?

> Кстати, это не бред. Читай доки.

С нетерпением жду цитаты из man'а по /etc/apt/sources.list

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

>Ты уже проверил это на всех остальных пакетных менеджерах?

В ясте зеркало которое не аптудейт - вообще не будет учавствовать.

r ★★★★★
()
Ответ на: комментарий от r

Кстати не факт. Фэйковое зеркало может выдавать проверяющим айпишкам что всё аптудейт, а вот всем остальным подсовывать старьё.

anonymous
()
Ответ на: комментарий от LamerOk

>Да. Один. Ты уже проверил это на всех остальных пакетных менеджерах?

Нет. И, кстати, нигде не утверждал, что все менеджеры одинаковые. Даже наоборот, я там выше говорил, что работал только с двумя.

Однако исследователи утверждают, что у всех менеджеров есть все вышеперечисленные проблемы. А я говорю, что не у всех и не все.

Несомненно, можно улучшить безопасность.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

>Фэйковое зеркало может выдавать проверяющим айпишкам что всё аптудейт, а вот всем остальным подсовывать старьё.

Может. Для начала нужно знать эти айпишники.

Но опять же толку-то?

jackill ★★★★★
()

Я правильно понимаю, что если загружать, к примеру, гентушные портеджи с сайта проекта, а всё остальное - с зеркала, то это проблема меня не касается?

anonymous
()
Ответ на: комментарий от anonymous

>Кстати не факт. Фэйковое зеркало может выдавать проверяющим айпишкам что всё аптудейт, а вот всем остальным подсовывать старьё.

Ага запрошен пакет xxx-1.2.3 а у него только 1.0.0 - и что толку что он нае^Hдул редиректор - если все равно его пошлют?

r ★★★★★
()
Ответ на: комментарий от jackill

> исследователи утверждают, что у всех менеджеров есть все вышеперечисленные проблемы

Цитату в студию. )) Ты пренебрегаешь формулировками и не вникаешь в их суть. От того и столько флейма. ))

LamerOk ★★★★★
()
Ответ на: комментарий от sv75

> Исследователи из Университета штата Аризона

> Кто о нем слышал раньше?

если не ошибаюсь, это как раз там были защищены диссертации на тему: - если упавший на землю бутерброд успеть поднять за, минимум 0,15 сек., то его можно спокойно есть...

А я все-таки их понимаю, не легко наверное с классическим высшим образованием разобраться в том, что наворотили "красноглазые". За мной тут один такой ходит уже три месяца, все уговаривает разработать ему прогу по его проекту, и все говорит, что и сам бы сделал, да мозгов не хватает всю картину проекта одновременно вместить. А этим стыдно признаться наверное, вот и самоутверждаются.

Напомню также слова одного из героев фильма "К центру Земли" (если название не забыл): ... а я знаю один язык, 1 0 0 1 1 0 1... и мне этого хватит ... хватить чтобы украсть твои идеи, твои банковские счета, твое домашнее видео... а ты даже и не заметишь, что тебя поимели...

anonymous
()
Ответ на: комментарий от LamerOk

>Цитату в студию. )) Ты пренебрегаешь формулировками и не вникаешь в их суть. От того и столько флейма. ))

Не на все есть цитаты. Ты прочитай статью и покажи мне разделение по менеджерам и по из уязвимостям.

Такое вот доказательство от противного.

jackill ★★★★★
()
Ответ на: комментарий от denisko

>в gentoo такое не прокатит. нигде такое не прокатит :) Пусть эти "специалисты" не шелестят языками, и так ясно что пролучили праздничные котлеты от MS. =)

anonymous
()
Ответ на: комментарий от anonymous

ну спецслужбы-то - эксплоитируют(причем не только Российские) ? как минимум - оффтопик и Федора, affected. а тк нельзя экплоитировать несуществующее ...

p.s. кто какие жретЪ котлеты - вопрос, конечно - интересный(пусть и оффтопик) или все-же, пельмени ?

BasileyOne
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.