Login
Newsletter
Werbung

Thema: Böck: Mangelhafte Reaktion auf Sicherheitslücken in RPM

17 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von Dr. Random am Di, 30. August 2016 um 08:39 #

.. sind Paketmanager für sich schon eine "Sicherheitslücke". Damit wird Software installiert, sogar mit Rootrechten, da werden Pre- und Postinstallscripte ausgeführt. Die Installation eines einzigen bösen Pakets kann das gesamte System kompromittieren.

Aber genug des Sarkasmus.

Was sind denn jetzt für Sicherheitslücken aufgetreten? Das wäre schon interessant zu erfahren, aber leider schweigen sich sowohl der Artikel als auch der Rant^WBlog darüber aus.

[
| Versenden | Drucken ]
  • 1
    Von Janka am Di, 30. August 2016 um 10:39 #

    Richtig. Jedes Paket kann Installskripte enthalten, und das Standardverhalten ist es, diese Skripte auch auszuführen.

    Warum sollte ein Angreifer ein Paket aufwendig manipulieren, um einen Absturz auszunutzen wenn er es simpel manipulieren und ein Skript einbauen kann, das letztlich dasselbe tut.

    Und aus ebendiesem Grund ist das ein low-priority-Bug. Auch wenn sein Entdecker, der ein vorgefertigtes Tool bedienen und ordentlich lautsprechen kann, das anders sieht.

    Dieser Beitrag wurde 1 mal editiert. Zuletzt am 30. Aug 2016 um 10:40.
    [
    | Versenden | Drucken ]
    • 0
      Von Roter Aluhut am Di, 30. August 2016 um 20:10 #

      Wer sagt den das man die Lücken nicht nutzen kann bevor zB eine Signaturprüfung durchgeführt wird um zB eben diese zu umgehen. Damit wäre es dann möglich präperierte Pakete aus eigener Quelle nachzuschieben, die normalerweise eben nicht ausgeführt werden, und schon gehört dein System nicht mehr dir.

      [
      | Versenden | Drucken ]
      • 0
        Von Herr Bert am Di, 30. August 2016 um 20:43 #

        Das geht auch mit jedem x-beliebigen Paketverwaltungssystem.

        [
        | Versenden | Drucken ]
        0
        Von Janka am Mi, 31. August 2016 um 01:32 #

        Ich halte es für zweifelhaft, dass man überhaupt einen dieser Abstürze ausnutzen kann. Die wenigsten Bugs die ein Fuzzer findet führen dazu, dass man Code einschleusen kann. Wo das genau möglich ist kann nur jemand herausfinden, der den Code bewerten kann.

        Ich kann mir schon denken, wie das bei RedHat ablief. "Schon wieder einer, der einen Fuzzer bedienen kann." – "Oh nein. Noch mehr bereits geprüfte Bug-Dubletten."

        Dieser Beitrag wurde 1 mal editiert. Zuletzt am 31. Aug 2016 um 01:35.
        [
        | Versenden | Drucken ]
    0
    Von klicki am Di, 30. August 2016 um 14:02 #

    Deswegen gibt es ja offizielle Maintainer die die Pakete bauen. Das andere nennt sich PPA :)

    [
    | Versenden | Drucken ]
1
Von Potz Blitz am Di, 30. August 2016 um 08:44 #

Schließlich gibt es schon den Nachfolger Flatpak. Denkbar, dass Flatpak dann auch die Aufgaben von rpm & dnf mit übernimmt...

[
| Versenden | Drucken ]
1
Von needle am Di, 30. August 2016 um 08:53 #

...hätte die Lücken entdeckt. Da wären die Lücken schnellstens gefixt worden, auch die von "RotHat".

[
| Versenden | Drucken ]
4
Von Eistee am Di, 30. August 2016 um 10:11 #

Was war das seinerzeit für eine Wohltat, als ich zu Debian Potato gewechselt bin. Bei Bedarf zusätzliche Repos einbinden und bequem per apt installieren. Was war das nervig, sich RPM-Pakete zusammensuchen zu müssen und in der richtigen Reihenfolge zu installieren.

[
| Versenden | Drucken ]
  • 2
    Von Nur ein Leser am Di, 30. August 2016 um 10:19 #

    Alter, das war 2000...

    Mag ja sein, das es damals so war, aber mittlerweile ist auch RPM "ein bisschen" weiter.
    Ich bin jetzt seit 2013 mit openSUSE unterwegs (RPM und libzypp/zypper zur Abhängigkeitsauflösung).

    Ich kann keinen, wirklich nicht den geringsten, Unterschied im Paketmanagement im Vergleich zu Debian-basierten Distributionen (DEB und apt-get) feststellen. Außer der Syntax, natürlich.

    Also bitte nicht diese ollen Kamellen auftischen, wenn es um ein ganz anderes Thema geht (das natürlich zu Recht kritikwürdig ist).

    [
    | Versenden | Drucken ]
1
Von Herr Bert am Di, 30. August 2016 um 11:41 #

"Solange aber nur Pakete aus vertrauenswürdigen Quellen bezogen werden, dürfte im vorliegenden Fall nichts passieren."

Gilt das nicht für jedes Paketverwaltungssystem?

[
| Versenden | Drucken ]
0
Von Anon Y. Mouse am Mi, 31. August 2016 um 09:13 #

gibt es RPM5 noch? auf deren website sieht es so aus, als ob jeder rpm5 verwenden würde, denke aber, dass da nur Mandriva mal umgeschwenkt ist.

Wäre noch interessant, ob die schneller fixen :-)

[
| Versenden | Drucken ]
0
Von Tendenz Rot am Mi, 31. August 2016 um 23:35 #

... an die gute alte Zeit, als ich versuchte RPM mit der dietlibc zu bauen. Dort war BUFSIZ mit nur 1024 Bytes statt 8192 Bytes wie in der glibc definiert. Dies führte dazu, dass RPM bei der Abarbeitung der diversen Macros crashte, wenn diese größer als 1024 Bytes waren, da die Macros in einen statischen Buffer der Größe BUFSIZ geladen wurden. Mein damaliger Bugreport wurde mit der lakonischen Bemerkung 'ich möge dann doch bitte BUFSIZ auf 8192 Bytes erhöhen' geschlossen. Auf meinen Einwand hin, dass so ein Macro ja durchaus auch mal größer als 8192 Bytes sein könnte, wurde ich aus dem Bugtracker geschmissen.

Das waren noch Zeiten. ;-)

[
| Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung