LINUX.ORG.RU

ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

 , , , менеджеры пакетов


0

0

Исследователи из Университета штата Аризона в США говорят, что обнаружили уязвимость в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.

Обнаруженный метод не требует получения паролей в систему или хитроумных трюков по обходу механизмов безопасности. Вместо этого, он эксплуатирует саму концепцию распространения бесплатного и открытого программного обеспечения.

Перемещено maxcom из Linux General

>>> Подробности

anonymous

Проверено: Shaman007 ()

Ответ на: комментарий от marsijanin

анонимус скор зарабатывает

anonymous
()

Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей (пакет взять из старого официального репозитария, т.е. он будет правильно подписан). Но файлы метаданных заменить на файлы из свежего пакета (например 2.12). В результате менеджер пакетов будет думать, что это новая версия и она правильно подписана.

Это будет работать в случае, если данные и метаданные подписаны отдельно (или метаданные вообще не подписаны). Кто-нибудь может подтвердить или опровергнуть эту уязвимость? И какие системы пакетов на сегодня уязвимы для этого?

anonymous
()
Ответ на: комментарий от amoralyrr

В принципе, логика в этом есть, но тут уже большей частью надо давать по ушам девелоперам, чтобы не вносили левые зеркала в списки.

anonymous
()

Достаточно использовать нормальный менеджер пакетов, такой как pacman: если пакет приутствует в более раннем по списку зеркале, то даже если в следующем зеркале имеется более новая версия, загружен он будет из первого зеркала.

vimmer
()
Ответ на: комментарий от amoralyrr

админам.... девелоперам ....

ЮЗВЕРЯМ надо по башке давать.

не админы же такую статистику набили ;)

есть такая категоря граждан, которые обновляются отовсюду и часто. просто рази обновления

Atmega64
()

Почему критикуют механизм работы систем обновлений? Если вы wget'ом скачаете недоброкачественное ПО, надо ругать разработчиков wget'а? Настройка менеджеров пакетов и других систем обновлений - дело рук пользователя/сисадмина. > ... и все они оказались способны поставить под угрозу безопасность ОС и компьютеров. Пусть исследователи из Аризоны проанализируют кривость рук тех, кто настраивал эти системы.

anonymous
()
Ответ на: комментарий от anonymous

> Прозреваю троянчегов в виде rpm ::))

Претензии у этих долботрахов кстати как раз ко всему кроме rpm.

anonymous
()
Ответ на: комментарий от anonymous

> Почему критикуют механизм работы систем обновлений? Если вы wget'ом скачаете недоброкачественное ПО, надо ругать разработчиков wget'а? Настройка менеджеров пакетов и других систем обновлений - дело рук пользователя/сисадмина. > ... и все они оказались способны поставить под угрозу безопасность ОС и компьютеров. Пусть исследователи из Аризоны проанализируют кривость рук тех, кто настраивал эти системы.

Весь вопрос состоит в подписывании метаданных в пакетах. Ничего сложного в этом нет. Ничего особо нужного в этом так же нет. Однако в виду недавнего DNS-poison бага, этот недостаток может оказаться существенным.

anonymous
()
Ответ на: комментарий от anonymous

> Это будет работать в случае, если данные и метаданные подписаны отдельно (или метаданные вообще не подписаны). Кто-нибудь может подтвердить или опровергнуть эту уязвимость? И какие системы пакетов на сегодня уязвимы для этого?

С yum + rpm прокатить не должно. yum, кажется, не подписывет метаданные, но перед установкой проверяет соответствие данных из пакета метаданным. Кроме того, сам rpm не даст совершить транзакцию с даунгрейдом версии, даже если с точки зрения yum эта версия более новая - сталкивался с таким при ошибках в репозитории.

anonymous
()

А разгадка одна — нефиг тянуть с одного места.

Вот в Gentoo есть список зеркал — проблема (случайная или намеренная) с одним из них — берем со второго и так далее.

Ну а если rsync-зеркало сам руками (netselect его, как я помню, не выбирает, и это правильно) выбрал вредительское — ССЗБ.

anonymous
()

баянисты из Университета штата Аризона в США открыли для себя принцип работы apt и yum

Капитаны Очевидность атакуют! :)

AcidumIrae ★★★★★
()

>Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей (пакет взять из старого официального репозитария, т.е. он будет правильно подписан). Но файлы метаданных заменить на файлы из свежего пакета (например 2.12). В результате менеджер пакетов будет думать, что это новая версия и она правильно подписана.

Пользуйтесь официальнвми репозиториями или собирайте сами.

>Поставь виндовс :)))

А если в базу обновлений венды тоже напихать троянчегофф. Темболее у них вон на флешках они зафиксированы.

anonymous
()
Ответ на: комментарий от amoralyrr

> а в новость то это зачем? Уже давно пришли к выводу, что это феерическая ахинея.

С одной стороны ахинея, с другой стороны представь ситуацию, если 99% десктопов на GNU/Linux.

anonymous
()
Ответ на: комментарий от anonymous

> А если в базу обновлений венды тоже напихать троянчегофф. Темболее у них вон на флешках они зафиксированы.

Ага, но там это формально прикрыто антивирусом.

anonymous
()
Ответ на: комментарий от anonymous

>представь ситуацию, если 99% десктопов на GNU/Linux

Сначала представил что 99% во всем мире... красотищща-то какая... :)

fpga
()

вообще смахивает на сферического коня в вакууме.

вообще то нормальные админы обновляются с официальных репов, да и вроде md5суммы у пакета с другими метаданными никак не должны совпадать

подробностей нада, а то "британские учоные обнаружили ..."

deadbeef
()

>ИТ-специалисты критикуют >Исследователи из Университета штата Аризона в США говорят >В исследовании Package Management Security они говорят

бакланы

madcore ★★★★★
()

о.О

а по-подробней они постеснялись описать свои "изыскания"... если честно, слабо вериться - я вот на серваках обновляюсь с официальных репов, да и дома тоже (тока вайн-реп руками добавлял). эта схема с подставными зеркалами сработает, только если организовать недавно обнародованную dns-poison.

OzOx
()
Ответ на: комментарий от anonymous

Специалисты открыля для себя что такое социальный инжениринг!!! Молодцы! Делаем репозиторий например Firefox и вместе с бравзером пихаем туда трояна, или другие пакеты, СТАРОЙ ВЕРСИИ. Вот и всё млять исследование. Интересно сколько за него денег забашляли? бАШЛЯЙТЕ БАБЛО МНЕ, И Я БУДУ ТАКИЕ уязвимости каждый день находить пачками!

Например уязвимость. Юзерам пришло сообще ние что появилась круттая программа, и качается она с репозиоия deb upyachka.ru/lila lia main Все дружно прописывают мою репу себе в сорсы, и качают себе гадость. Данная уязвимость может считаться критической, и не подлежащей исправлению, ввиду невозможности дать админу утюгом по чайнику, дабы повысить уровень параноидальности.

А если серьёзно, то кто же на боевых серверах левые репы использует? А юзеры за десктопом себе и так вирус скачают и поставят, под видом игрушки новой супер пупер крутой. И сами ему пароль от рута скажут.

Конечно если юзать такую технику с багом в ДНС, который правда уже пофиксили, то реальная опасность получается. Но Его уже пофиксили((((

Кстати есть мнение что именно этот баг и навёл этих типа учёных на эту типо уязвимость)

anonymous
()

вот новость. "by design" фича - заложена в аналоги СОРМ-2 ВСЕХ стран. и WinUpdate тоже. другое дело, что Man-in-middle в лице СС как Урозу - им не обойти. а вот защиту от третьих сторон - интегрировать бы неплохо. в тч - неплохо для спецслужб.

anonymous
()
Ответ на: комментарий от anonymous

> Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей (пакет взять из старого официального репозитария, т.е. он будет правильно подписан). Но файлы метаданных заменить на файлы из свежего пакета (например 2.12). В результате менеджер пакетов будет думать, что это новая версия и она правильно подписана

только я не понял каким образом осуществить действие "в репозиторий положить например версию пакета 0.1" , в репах обычно новая версия

да и вроде бы пароль просит везде , обьясните тупому

anonymous
()

а то что dumb-хэширование(с подписЯми и без) что CRC32 что SHA-хзлюбой - не помогает убедиться в валидности и ЦЕЛОСТНОСТИ полученного контента. и в том, что он - получен, ИМЕННО с апдэйт-зеркала кернел орг или WUP MS.

позитивные искобчения в мире дистрибутивостроения - есть, но они лишь исключения(не будем тыкать пальцами). а вкратце - ассиметричное крипто - вовно полное.

anonymous
()

феерический бред...

anonymous
()

Ага. Я года 3-и назад об этом задумывался.

fk_
()

Авторов топика в топку. Проблема решена более десяти лет назад.

rpm обычно подписываются и yum проверяет их. Пока не импортируешь ключ с сайта автора, ставить не будет. Этой проблемой озаботились еще когда только делали первые зеркала.

fi ★★★
()

Ну конечно, если "Исследователи из Университета Аризона в США" прижимают яйца дверью, то, конечно же, виноваты двери. Данная уязвимость только в мозгах юзеров. Чтобы использовать данную уязвимость, нужно обладать навыками социальной инженерии. А от социальной инженерии никто не защищен на 100%.

Demon37 ★★★★
()

>Атакующий может абсолютно верно подписать пакеты

Они там совсем с ума посходили? Каким это образом, не имея приватного ключа?

>Соответственно, злоумышленник, создав подставной открытый сервер обновлений (зеркало), сможет при помощи подписей взаимодействовать с менеджерами обновлений.

Вот поэтому apt не поддерживает редиректы и имеет статически список проверенных зеркал. Каким это образом моя система вдруг будет качать обновления с какого-то нового сайта?

Попахивает пиаром, в общем...

JackYF ★★★★
()

it-специалисты которые родили это исследование - it-клинические идиоты.

r ★★★★★
()
Ответ на: комментарий от anonymous

>Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей

И все - на этом можешь остановиться. Суть именно в этом.

r ★★★★★
()
Ответ на: комментарий от anonymous

> С одной стороны ахинея, с другой стороны представь ситуацию, если 99% десктопов на GNU/Linux.

Если ты обновляешься с hackyouself.com - это проблема твоя а не разработчика.

r ★★★★★
()
Ответ на: комментарий от fi

> Авторов топика в топку. Проблема решена более десяти лет назад.

> rpm обычно подписываются и yum проверяет их.

Yum банально падает от endless data атаки.

LamerOk ★★★★★
()
Ответ на: комментарий от Demon37

> Данная уязвимость только в мозгах юзеров. Чтобы использовать данную уязвимость, нужно обладать навыками социальной инженерии. А от социальной инженерии никто не защищен на 100%.

Прекрасный пример - твой пост. Тебе не приходит в голову, что половина дистрибутивов в качестве рекомендации предлагает систему автоматического выбора зеркала? Со всеми вытекающими.

LamerOk ★★★★★
()

Та жа новость, но чуть более подробно.

Исследователи из Аризонского университета проанализировали 10 наиболее широко распространенных систем автоматического обновления, использующиеся в продуктах с открытым исходным кодом - APT, APT-RPM, Pacman, Portage, Ports, Slaktool, Stork, Urpmi, Yast и YUM. Во всех системах были обнаружены уязвимости, позволяющие предотвратить обновление системы и сохранить на ней ПО с уже известными ошибками безопасности.
В качестве демонстрации, было создано "подставное" зеркало обновлений, которое без труда попал в списки зеркал Ubuntu, Fedora, OpenSuSE, CentOS и Debian, и к которому обращались тысячи компьютеров, в том числие государственных и военных структур.
В статье, которая появится в следующем выпуске "University of Arizona Tech Report", формулируются основные принципы безопасного обновления ПО.

LamerOk ★★★★★
()
Ответ на: комментарий от denisko

>в gentoo такое не прокатит.

ТАкое катит везде - даже в венде. Суть уязвимости которую они обнаружили в том что кто-то может создать резитарий со старыми версиями пакетов с известными "злоумышленникам" уязвимостями, листонуться в какой нить вике, подождать пока с них проапдейтяся а потом хакнуть апдейтеров.

Неразрешимый вариант который не является софтверной проблемой 0 работает даже в виндовсе - если ты кладешь старую венду с известынми уязвимостями, ждешь лоха который ее качнет и поставит а потом хакаешь ее - тут уж ниче не решишь на софтверном уроне - ТУТ МОЗГИ ЛЕЧИТЬ НАДО.

r ★★★★★
()
Ответ на: комментарий от LamerOk

Эти основные принципы излдожены в статье на ZDNET - они предлагают "инвалидировать подписи пакетов на которые вышло обновление". ТАким образом принципиально невозможно поставить старую непатченую версию будет.

о моему это клинический идиотизм или они после последнего курения травы и златания колес в своем универе оклематься до сих пор не могут.

r ★★★★★
()
Ответ на: комментарий от LamerOk

>Прекрасный пример - твой пост. Тебе не приходит в голову, что половина дистрибутивов в качестве рекомендации предлагает систему автоматического выбора зеркала? Со всеми вытекающими.

Автоматический выбор новых зеркал без ручной проверки, кто стоит за этим зеркалом? Тогда этой половине дистрибутивов нужно менять такую политику.

JackYF ★★★★
()
Ответ на: комментарий от LamerOk

>Прекрасный пример - твой пост.

Я не понял, примером чего является мой пост? Это что ли камень в мой огород?

Demon37 ★★★★
()
Ответ на: комментарий от r

>Эти основные принципы излдожены в статье на ZDNET - они предлагают "инвалидировать подписи пакетов на которые вышло обновление". ТАким образом принципиально невозможно поставить старую непатченую версию будет.

>о моему это клинический идиотизм или они после последнего курения травы и златания колес в своем универе оклематься до сих пор не могут.

Ага. А ещё они малесько забывают, что не у всех стоит "самая-распоследняя-что-на-есть" версия дистрибутива, пакетов и т.д.

JackYF ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.