Login
Newsletter
Werbung

Di, 30. August 2016, 08:10

Software::Systemverwaltung

Böck: Mangelhafte Reaktion auf Sicherheitslücken in RPM

Der Sicherheitsforscher Hanno Böck hat Ende letzten Jahres Sicherheitslücken in DPKG und RPM gefunden. Während die von DPKG schnell gemeldet und korrigiert waren, nahm schon die Meldung der Probleme bei RPM epische Ausmaße an. Mindestens ein Problem in RPM ist bis heute nicht korrigiert.

Mirko Lindner

Wie Böck schreibt, startete er im November 2015 Fuzzing-Tests mit den Paketmanagern DPKG und RPM unter Verwendung von American Fuzzy Lop. Dabei fand er mehrere Probleme in beiden. DPKG wird von allen von Debian hergeleiteten Distributionen genutzt und fällt in die Zuständigkeit von Debian. Das Melden der Fehler war laut Böck problemlos, und eine Woche später brachten Debian und Ubuntu Updates heraus.

Ganz anders bei RPM. Die RPM-Webseite ist eine Trac-Installation und verfügt damit über einen Bugtracker. Böcks Versuche, sich dort zu registrieren, schlugen allerdings fehl, da die Installation voller Fehler ist. Daher wandte sich Böck zunächst mit drei Fehlern an Red Hat. Dessen Sicherheitsteam nahm die Meldungen zwar entgegen, gab aber zugleich an, mehr als 30 Meldungen zu Abstürzen von anderen Personen erhalten zu haben und dementsprechend Zeit zur Bearbeitung zu benötigen.

Drei Monate später ohne Rückmeldung fragte Böck nach und setzte eine Frist von 30 Tagen, bevor er die Sicherheitslücken publizieren würde. Dadurch kam eine Kommunikation mit einem Mitglied des Red Hat-Sicherheitsteam zustande. Demzufolge wurde im Github-Repositorium von RPM inzwischen einige der Fehler behoben. Böck führte eine weitere Analyse durch und fand zwei weitere Fehler, die er an Red Hat meldete.

Eine offizielle neue Version von RPM hat es trotzdem nicht gegeben. Es ist laut Böck nicht einmal klar, was die letzte offizielle Version ist. Eine Webseite nennt RPM 4.13 vom Juli 2015 als neueste Version, Github kennt diese Version nicht. Böck geht davon aus, dass Red Hat die Version 4.13 mit einigen Korrekturen derzeit einsetzt. Mindestens ein Problem harrt offenbar noch der Korrektur und ist laut Böck auch im neuesten Stand des Repositoriums vorhanden.

RPM stellt laut Böck insofern eine Ausnahme dar, als Red Hat normalerweise wesentlich professioneller auf Sicherheitslücken reagiert. Sicherheitslücken in der Paketverwaltung bergen die Gefahr, dass die Benutzer Pakete mit Schadsoftware erhalten. Solange aber nur Pakete aus vertrauenswürdigen Quellen bezogen werden, dürfte im vorliegenden Fall nichts passieren. Die von Böck gefundenen Lücken können zu einem Absturz von RPM bei Öffnen von präparierten RPM-Paketen führen. Dabei könnte unter Umständen Schadcode ausgeführt werden. Darum hält Böck es für wichtig, dass RPM gegen solche Probleme immun ist.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung