Viacero distribúcií Linuxu je možné infikovať bez súčinnosti užívateľa

Značky: LinuxbezpečnosťDebianUbuntu

DSL.sk, 20.12.2016

V jednej zo základných funkčností viacerých populárnych linuxových distribúcií sa nachádza bezpečnostná chyba, vďaka ktorej je tieto v závislosti na konfigurácii možné infikovať úplne bez súčinnosti užívateľa alebo pri bežnej činnosti užívateľa.

Táto chyba sa totiž nachádza v nástroji pre správu a aktualizáciu balíčkov apt, ktorú používa distribúcia Debian a množstvo z nej odvodených distribúcií vrátane napríklad Ubuntu a Linux Mint.

Chyba sa konkrétne nachádza v overovaní kryptografického podpisu repozitára a umožňuje podvrhnúť falošný zoznam balíčkov. Ak je tak systém nastavený na automatickú aktualizáciu alebo nainštalovanie dostupných aktualizácií uskutoční užívateľ, útočník môže na aktualizujúci sa systém dostať ním podvrhnutú aktualizáciu balíčka a tým na systéme spustiť ním zvolený kód s oprávneniami roota.

Ešte presnejšie sa chyba nachádza v spracovaní súborov formátu InRelease popisujúceho zoznam aktuálne dostupných verzií softvéru, ktorý zahŕňa kryptografický podpis. Útočník môže do súboru vložiť ďalšie falošné dáta, ktoré v prvej fáze nie sú zvažované kvôli uvedeniu mimo podpísanú časť a apt korektne overí originálny podpis. Kvôli chybe v ďalšej fáze pri samotnom použití týchto dát už apt môže považovať súbor za súbor iného formátu s oddeleným podpisom a ako platné brať aj pridané falošné dáta.

Chybu je možné vyvolať vyčerpaním pamäte procesu. V prípade 32-bitových verzií s aktívnou ochranou ASLR sa dá navodiť podľa objaviteľa pomerne jednoducho a aj priamočiara implementácia má úspešnosť do 25%. Na 64-bitových verziách je už potrebné reálne vyčerpať pamäť systému, čo môže byť výrazne komplikovanejšie a zároveň vzbudiť v užívateľovi podozrenie.

V každom prípade keďže repozitáre sú kvôli efektivite často šírené cez nezabezpečený protokol HTTP, útočník môže falošný súbor podvrhnúť niekoľkými spôsobmi. Okrem infikovania napríklad zrkadiel distribučných serverov môže uskutočniť aj man-in-the-middle útok na pripojenie užívateľa napríklad pri jeho využívaní verejnej WiFi a podobne.

Chybu objavil Jann Horn z Google, Debianu ju nahlásil 5. alebo 6. decembra. Aktualizácia apt opravujúca chybu bola Debianom vydaná 13. decembra, tvorcami Ubuntu v rovnaký deň.


Najnovšie články:



Diskusia:

sdffsd Od: sdfdsg | Pridané: 20.12.2016 16:30 install arch Odpovedať Známka: 1.7 Hodnotiť:

Re: sdffsd Od reg.: Fresco | Pridané: 20.12.2016 16:31 idz do riti s tvojim archom, kua! Odpovedať Známka: -2.6 Hodnotiť:

Re: sdffsd Od: meheh | Pridané: 20.12.2016 17:00 az na to, ze arch nepouziva apt ale pacman a je odolny voci tejto zranitelnosti :) Odpovedať Známka: 8.0 Hodnotiť:

Re: sdffsd Od: vvvvdddssss | Pridané: 20.12.2016 20:10 pacman ?? ja pouzivam trizen Odpovedať Známka: -10.0 Hodnotiť:

Re: sdffsd Od reg.: dslk0 | Pridané: 20.12.2016 20:52 lunex mam rad s rozkom Odpovedať Známka: -5.2 Hodnotiť:

Re: sdffsd Od: sensei-san | Pridané: 21.12.2016 10:35 Kurzy varenia pre začiatočníkov sú o dve poschodia nižšie, na konci chodby vľavo. Odpovedať Známka: 10.0 Hodnotiť:

Re: sdffsd Od: Lathander | Pridané: 20.12.2016 22:23 Trizen je len wrapper nad pacmanom, a nie zrovna udrziavany(ma to jedneho vyvojara) a nevie to ani pracovat s gitom. Odpovedať Známka: 10.0 Hodnotiť:

Re: sdffsd Od: jasnejasne | Pridané: 21.12.2016 9:46 SigLevel=Never, vsak? Odpovedať Hodnotiť:

debian Od: koumak | Pridané: 20.12.2016 16:40 Profici si instaluju aktualizacie rucne cez dpkg ;-) Inak len amater pouziva automaticke aktualizacie... Odpovedať Známka: -6.3 Hodnotiť:

Re: debian Od: asdasa | Pridané: 20.12.2016 18:02 Ani tak nie amater, ako samovrah. Odpovedať Známka: -5.7 Hodnotiť:

Re: debian Od: kartac | Pridané: 20.12.2016 18:20 Len amater si neskotroluje a neodladi zdrojovy kod novych updatov a neskompiluje si to sam! Odpovedať Známka: 6.8 Hodnotiť:

Re: debian Od: syntaxterrorAnta | Pridané: 20.12.2016 20:05 Presne tak. Najma je, vzhladom k potencialnemu rootkitu vyrobcu hardveru ci dokonca vertikalne integracnym dohodam viacerych dodavatelov, dolezite kontrolne sumy prepocitavat priamo z hlavy alebo aspon rucne. Odpovedať Známka: 7.9 Hodnotiť:

Re: debian Od: Omenomen | Pridané: 20.12.2016 20:33 Ale kde ze, profici si aktualizacie pisu sami na vlastnom operacnom systeme. Odpovedať Známka: 7.8 Hodnotiť:

Re: debian Od: Sanxo | Pridané: 20.12.2016 20:40 ... a s Jankou Hospodárovou na kolenách... (... teda kľačiacou Jankou ... :-D ) Odpovedať Známka: 3.9 Hodnotiť:

Re: debian Od: ascer | Pridané: 21.12.2016 8:08 JJ, ja osobne pisem aktualizacie na pisacom stroji. Je to dost bezpecne. Odpovedať Známka: 10.0 Hodnotiť:

dokonalost Od: syntaxterrorAnta | Pridané: 21.12.2016 8:17 Akurat ze debata je o profikoch a skutocny profik nema dovod aktualizovat vlastny operacny system. Odpovedať Známka: 8.6 Hodnotiť:

Re: debian Od: ABCDEFGHIJKL | Pridané: 20.12.2016 21:22 Skutocny profik si pise kod sam a ma aj svoj vlastny OS. Odpovedať Známka: 10.0 Hodnotiť:

Re: debian Od: Reikii | Pridané: 21.12.2016 5:41 Skutocny profik si este aj navrhuje a vyraba vlastny hardware a robi sam sebe poskytovatela internetu. Odpovedať Známka: 10.0 Hodnotiť:

Re: debian Od reg.: Zapredaný | Pridané: 21.12.2016 7:10 A skutočný profík si dokonca aj ide von nazbierať kremičitý piesok. Prestuje si monokryštále kremíku a vyrába si sám čipy ožarovaním vo svojej vlastnej malej dielničke. Tiež máte problémy ako ja prejsť konečne na 250 nanometrov? Odpovedať Známka: 10.0 Hodnotiť:

Re: debian Od: asdadasd | Pridané: 21.12.2016 8:38 moja manzelka pouziva 21cm a zatial sa nestazovala ze by mala problemi Odpovedať Známka: 6.0 Hodnotiť:

Re: debian Od: rambo.ru.cn | Pridané: 21.12.2016 8:50 A keby tvoja manželka bola slovenčinárka, ani ty by si nemal "problemi". Odpovedať Známka: 8.6 Hodnotiť:

Re: debian Od: syntaxterrorAnta | Pridané: 21.12.2016 8:57 Zrejme nezverejnuje vsetky informacie o parametroch konkurencie. Odpovedať Známka: 10.0 Hodnotiť:

Re: debian Od: pxd | Pridané: 21.12.2016 15:13 skutocny profik sa este nenalodil (kazdy z nas je na tej istej lodi...TEAM) Odpovedať Hodnotiť:

sudo dbpk install armatura Od: kukopuko | Pridané: 20.12.2016 16:46 iba armatura hihihihi Odpovedať Známka: -3.3 Hodnotiť:

mint 18,1 Od: somchai | Pridané: 20.12.2016 17:33 Ukuu kernel update utility ruleezzz psensor tooo Odpovedať Známka: -7.1 Hodnotiť:

Superbezpecny Linux ... Od: sam hawkins | Pridané: 20.12.2016 18:13 Superbezpecny Linux ... a vyzera deravy jak emental ked uz Misko s Jozkom ho dokazu uplne jednoducho infikovat. Toto sa vam na MacOS aktualizacii nikdy nestane kedze je to digitalne Applom podpisany spustitelny kod. Kde spravili inzinieri z Linuxu chybu? Odpovedať Známka: -7.1 Hodnotiť:

Re: Superbezpecny Linux ... Od: kartac | Pridané: 20.12.2016 18:19 Ja si radsej pockam na odborne vyjadrenie experta Ondreja Macka k tejto problematike a az potom urobim dalsie kroky. Odpovedať Známka: 10.0 Hodnotiť:

Re: Superbezpecny Linux ... Od reg.: VWV . | Pridané: 20.12.2016 19:07 Ondrej Macko nema na taketo hluposti cas, pretoze prave sleduje posledne dni vysielania Markizy pri kuchynskom dreze na tablete ... Odpovedať Známka: 10.0 Hodnotiť:

Re: Superbezpecny Linux ... Od: 'PPQ' | Pridané: 20.12.2016 19:37 asi upratuje ten bordel... :)) Odpovedať Známka: 10.0 Hodnotiť:

Re: Superbezpecny Linux ... Od: zlata rybka | Pridané: 20.12.2016 21:49 :D alebo otaca na stole interierovou antenou a je smutny ze mu vypadava obraz. btw presne pre toto mam rad satelit. ked vnutri na stole otacam parabolou, nic nevypadava a vzdy mam rovnaky obraz - cierny... Odpovedať Známka: 2.5 Hodnotiť:

Re: Superbezpecny Linux ... Od: ABCDEFGHIJKL | Pridané: 21.12.2016 11:30 Cierny obraz je znakom toho, ze mas dobry signal. Odpovedať Hodnotiť:

Re: Superbezpecny Linux ... Od reg.: bhawk | Pridané: 20.12.2016 19:49 Kolko trvala oprava chyby po jej objaveni, a kolko trva MS, ci Apple opravenie takychto chyb? Odpovedať Známka: 8.8 Hodnotiť:

Re: Superbezpecny Linux ... Od: linux-man | Pridané: 20.12.2016 21:47 a kolko systemov bude patchnutych? napr. win10 ma autoupdate, ktory sa neda vypnut a ktory automaticky opravi zranitelne miesta. idealne pre noobov a stare pusky. a co linux? kolko linux systemov je zranitelnych napr. shellshockom, dirty cow, blargg, bind, rpc fuckup a stovkami dalsich? Odpovedať Známka: -5.0 Hodnotiť:

Re: Superbezpecny Linux ... Od reg.: roob_ | Pridané: 20.12.2016 23:08 neda? ako sa to prejavuje? Odpovedať Známka: 3.3 Hodnotiť:

Re: Superbezpecny Linux ... Od: linux-man | Pridané: 21.12.2016 10:13 automatickym zapnutim, ak system deteguje, ze boli dlhsie ako pol hodiny vypnute. nehovoriac o tom, ze sa ta picovina s oknami tvari tak, ako keby mala este iny fail-safe autoupdate nezavisly od toho standardneho. a to uz minimalne od win7, ked sa mi stalo, ze sa mi updatli systemove veci aj napriek zakazanemu autoupdate. Odpovedať Hodnotiť:

Re: Superbezpecny Linux ... Od: sensei-san | Pridané: 21.12.2016 10:45 A koľko systémov, ktorým v podstate nič nebolo (okrem toho, že mali W10) bolo automaticky dodrbaných napr. s KB3194496 či KB3193479? Odpovedať Hodnotiť:

Re: Superbezpecny Linux ... Od: linux-man | Pridané: 21.12.2016 18:01 to je dan za autoupdate. ale tu plati kazdy, nielen windowsaci. Odpovedať Hodnotiť:

trva, kym neskonci... Od: syntaxterrorAnta | Pridané: 21.12.2016 4:47 "Aktualizácia apt opravujúca chybu bola Debianom vydaná 13. decembra, tvorcami Ubuntu v rovnaký deň." a distribuovaná pomocou automatických aktualizácií apt. :D Odpovedať Známka: 10.0 Hodnotiť:

fakt? Od: jaaaaaaaaaaaaj | Pridané: 20.12.2016 18:37 "neskotroluje" Netroluj... Odpovedať Známka: 10.0 Hodnotiť:

Re: fakt? Od: Zlosyn | Pridané: 21.12.2016 11:03 neskôrtroluje! Odpovedať Známka: 10.0 Hodnotiť:

KusHada Od: Zahada | Pridané: 20.12.2016 19:38 Moj nazor na opravy chyb: Win - az po zverejneni Mac - kopa verejne neznamych Linux - hned ako ma prvy clovek cas.. Odpovedať Známka: 8.0 Hodnotiť:

Re: KusHada Od: Kekeke | Pridané: 20.12.2016 20:00 Este, ze tvoj nazor nikoho nezaujima. Odpovedať Známka: -8.4 Hodnotiť:

Re: KusHada Od: fdsalmdvpoem sd | Pridané: 20.12.2016 20:11 dal som ti minusku, lebo prinasas do diskusie maniere tvojej matere. Odpovedať Známka: 8.5 Hodnotiť:

Re: KusHada Od: linux-man | Pridané: 20.12.2016 22:58 ano, a preto tu mame x rokov, prakticky od prvej verzie, shellshock, napr :) Odpovedať Známka: -3.3 Hodnotiť:

Re: KusHada Od: Mindblasting | Pridané: 21.12.2016 8:57 Tak to mozes byt rad, ze trvalo tak dlho najst takuto zranitelnost, hoci kod je komukolvek dostupny. A uz je opravena. Ani len netusis, kolko podobnych chyb je v uzavretych systemoch ako Windows a MacOS. A urcite tam su. To je ako hladat smeti a neporiadok vo velkej presvetlenej izbe. Aj ked ju vycistis, moze sa stat, ze si na nejaky ten roh a kut zabudol. Alebo mozes jednoducho zhasnut. Spina sice nezmizne, no aspon neuvidis, kde je. Co si vyberies ty? Odpovedať Známka: 8.5 Hodnotiť:

Re: KusHada Od: linux-man | Pridané: 21.12.2016 18:00 v to pripade ale neplati to, co pisal kolega vyssie: ze sa chyby opravuju hned ako ma prvy clovek cas. vid napr. shellshock, aka zranitelnost, ktora tu bola este pred napisanim prveho linuxoveho riadku... Odpovedať Známka: -3.3 Hodnotiť:

\'sudo apt-get update\' pre update apt-get :) Od: vsevec | Pridané: 20.12.2016 20:08 'sudo apt-get update' pre update apt-get :) Odpovedať Známka: 8.0 Hodnotiť:

dpkg- Od: ferrikles | Pridané: 20.12.2016 20:42 pri dpkg neni ziadny takyto problem? Odpovedať Známka: 2.0 Hodnotiť:

apt is ugly Od: zypper | Pridané: 21.12.2016 0:14 zypp it! Odpovedať Hodnotiť:

Pridať komentár