unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Linux » News » Bericht: Paket-Management-Systeme unter Linux nur bedingt vertrauenswürdig » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Bericht: Paket-Management-Systeme unter Linux nur bedingt vertrauenswürdig
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 21.667.532
Nächster Level: 22.308.442
640.910 Erfahrungspunkt(e) für den nächsten Levelanstieg

Bericht: Paket-Management-Systeme unter Linux nur bedingt vertrauenswürdig Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
Linux-Anwender verweisen oft auf die Vorzüge des automatischen Paket-Managements ihrer Distribution, insbesondere wenn es um das schnelle Schließen von Lücken im Kernel und in Anwendungen geht. Die University of Arizona weist in einem Bericht allerdings darauf hin, dass die Paket-Manager Sicherheitslücken aufweisen, mit denen manipulierte Distributions-Mirror-Server dem Client alte Pakete mit Sicherheitslücken unterschieben können. Und dass es relativ einfach ist, einen eigenen Mirror-Server für eine Distribution zu etablieren, haben die Forscher gleich mit demonstriert.

Weitere Infos so wie die Quelle


Bei Heise schlagen sich die Trolle schon die Köpfe deswegen ein fröhlich


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
15.07.2008 14:17 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

rich20 rich20 ist männlich
Routinier


images/avatars/avatar-219.gif

Dabei seit: 22.01.2006
Beiträge: 287

Level: 40 [?]
Erfahrungspunkte: 2.013.613
Nächster Level: 2.111.327
97.714 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
hm.. dann mache ich nie mehr ein Update. grübeln
15.07.2008 16:49 rich20 ist offline E-Mail an rich20 senden Beiträge von rich20 suchen Nehmen Sie rich20 in Ihre Freundesliste auf

Vimes Vimes ist männlich
Super Moderator


images/avatars/avatar-14.jpg

Dabei seit: 27.03.2005
Beiträge: 1.316

Level: 49 [?]
Erfahrungspunkte: 9.629.266
Nächster Level: 10.000.000
370.734 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Das kann es allerdings auch nicht sein.

Es landen ja auch nicht alle in einem Topf - bei manchen Paketverwaltungen werden die Pakete signiert, idealerweise natürlich via gnupg (MD5 kann man ja nun getrost als gebrochen betrachten). Dann muß der Fälscher, der den Spiegelserver aufsetzt, in der Lage sein, die Pakete mit dem gültigen Schlüssel zu signieren. Den wird er ohne größere Verrenkungen nicht kriegen - hofft man. Wenn doch, ist eh alles aus.

Setzt natürlich voraus, daß der geneigte Endanwender nicht installiert, wenn ihn aptitude o.ä. darauf hinweist, daß der Signierschlüssel nicht erkannt wurde. Aber irgendwo muß man immer eine Grenze ziehen.

MfG
VImes


__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
16.07.2008 18:25 Vimes ist offline E-Mail an Vimes senden Beiträge von Vimes suchen Nehmen Sie Vimes in Ihre Freundesliste auf Fügen Sie Vimes in Ihre Kontaktliste ein YIM-Name von Vimes: jesusrettet

rich20 rich20 ist männlich
Routinier


images/avatars/avatar-219.gif

Dabei seit: 22.01.2006
Beiträge: 287

Level: 40 [?]
Erfahrungspunkte: 2.013.613
Nächster Level: 2.111.327
97.714 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
hm.. dann mache ich nie mehr ein Update

War eher scherzhaft gedacht.

Was mir dabei aber nicht ganz in den Kopf will, wie sollte das in der Praxis funktionieren, wenn ich (ich zumindest) doch immer die Paketquellen aus einer einzigen Quelle beziehe. Da müsste ich ja entweder auf diesen Spiegelserver umgeleitet werden, oder aber, meiner Quelle müsste das untergejubelt werden? grübeln

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von rich20: 16.07.2008 18:45.
16.07.2008 18:45 rich20 ist offline E-Mail an rich20 senden Beiträge von rich20 suchen Nehmen Sie rich20 in Ihre Freundesliste auf

Vimes Vimes ist männlich
Super Moderator


images/avatars/avatar-14.jpg

Dabei seit: 27.03.2005
Beiträge: 1.316

Level: 49 [?]
Erfahrungspunkte: 9.629.266
Nächster Level: 10.000.000
370.734 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Es gibt genügend Leute, die alles in die /etc/apt/sources.list eintragen, was nicht bei drei auf den Bäumen ist.
Davon abgesehen kann man natürlich auch einen Server "kapern" und dort dann versuchen, Unheil zu stiften. Solange man den Private Key der Paketmanager nicht hat, kann man allerdings nicht viel reißen.

Inwieweit offizielle Quellen die Last auf Spiegelserver verteilen, weiß ich nicht. Auch das wäre eine Möglichkeit und könnte zu Problemen führen. Allerdings ist auch hier bei signierten Paketen ein echter Angriff nicht ohne weiteres möglich, "nur" das Zurückhalten von Updates.

MfG
Vimes


__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
18.07.2008 18:25 Vimes ist offline E-Mail an Vimes senden Beiträge von Vimes suchen Nehmen Sie Vimes in Ihre Freundesliste auf Fügen Sie Vimes in Ihre Kontaktliste ein YIM-Name von Vimes: jesusrettet

rich20 rich20 ist männlich
Routinier


images/avatars/avatar-219.gif

Dabei seit: 22.01.2006
Beiträge: 287

Level: 40 [?]
Erfahrungspunkte: 2.013.613
Nächster Level: 2.111.327
97.714 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Aber es ist immer noch schwieriger, als bei Windows, wo diese kompletten Updatepacks von anderen Webseiten angeboten werden und diese Angebote auch gerne angenommen werden.
Aber welchen Grund sollte es bei einem Linuxuser geben, um auf einen anderen Anbieter auszuweichen?
Es steht im Bericht etwas von Mirrorservern, welche manipuliert werden könnten.
Auch da sehe ich keinen Grund, auf einen solchen auszuweichen.

Und dass es keine hundertprozentige Sicherheit gibt, ist auch klar.
18.07.2008 22:50 rich20 ist offline E-Mail an rich20 senden Beiträge von rich20 suchen Nehmen Sie rich20 in Ihre Freundesliste auf

Haui Haui ist männlich
Haudegen


images/avatars/avatar-123.jpg

Dabei seit: 29.04.2005
Beiträge: 522

Level: 44 [?]
Erfahrungspunkte: 3.802.332
Nächster Level: 4.297.834
495.502 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
Aber welchen Grund sollte es bei einem Linuxuser geben, um auf einen anderen Anbieter auszuweichen?

Es gibt durchaus Gründe um weitere alternative Mirrors zu verwenden, beispielsweise wenn ein bestimmtes Paket nicht auf den "normalen" Servern vorhanden ist, oder eben nur in einer veralteten Version. Natürlich sollte man auch hier nur Server verwenden, denen man vertraut...

Zitat:
Es steht im Bericht etwas von Mirrorservern, welche manipuliert werden könnten.

Das Risiko besteht natürlich immer, denn kein Server, der ans Internet angeschlossen ist, ist vollkommen immun gegen Angriffe.
...und wer ganz paranoid ist (und jede Menge Zeit hat) kann sich ja jederzeit seine Distribution nur aus Quelldateien zusammenbauen. Petzauge


__________________
Have you tried turning it off and on again?

/join #dedies-board.de
18.07.2008 23:10 Haui ist offline E-Mail an Haui senden Homepage von Haui Beiträge von Haui suchen Nehmen Sie Haui in Ihre Freundesliste auf Jabber Screennamen von Haui: haui45@jabber.ccc.de

Vimes Vimes ist männlich
Super Moderator


images/avatars/avatar-14.jpg

Dabei seit: 27.03.2005
Beiträge: 1.316

Level: 49 [?]
Erfahrungspunkte: 9.629.266
Nächster Level: 10.000.000
370.734 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
Original von Haui
Natürlich sollte man auch hier nur Server verwenden, denen man vertraut...


Und das muß man erstmal rauskriegen, wem man trauen kann. Und selbst, wenn ich jemandem traue, weiß ich immer noch nicht, ob sein Server nicht übernommen wurde ... Petzauge

Zitat:
...und wer ganz paranoid ist (und jede Menge Zeit hat) kann sich ja jederzeit seine Distribution nur aus Quelldateien zusammenbauen. Petzauge


Dafür muß er aber sicher gehen, daß die Quelldateien nicht manipuliert wurden. Da bleibt nur, den Quellcode jeder zu installierenden Software zu prüfen. Das dürfte allerdings keine Aufgabe sein, die man alleine in einem vernünftigen Zeitraum stemmen kann - auch, wenn man dafür 24/7 veranschlagen würde großes Grinsen

MfG
Vimes


__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
19.07.2008 23:36 Vimes ist offline E-Mail an Vimes senden Beiträge von Vimes suchen Nehmen Sie Vimes in Ihre Freundesliste auf Fügen Sie Vimes in Ihre Kontaktliste ein YIM-Name von Vimes: jesusrettet

Haui Haui ist männlich
Haudegen


images/avatars/avatar-123.jpg

Dabei seit: 29.04.2005
Beiträge: 522

Level: 44 [?]
Erfahrungspunkte: 3.802.332
Nächster Level: 4.297.834
495.502 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
Original von Vimes
Und das muß man erstmal rauskriegen, wem man trauen kann. Und selbst, wenn ich jemandem traue, weiß ich immer noch nicht, ob sein Server nicht übernommen wurde ... Petzauge

Das ist ein Problem, das bei allen Softwaredownloads (außer ich lade eben nur die Sourcen und überprüfe sie) auftritt. Ich für meinen Teil "traue" den Debian-Servern in dieser Hinsicht zumindest genug, um meine Software von dort zu beziehen. großes Grinsen

Zitat:
Dafür muß er aber sicher gehen, daß die Quelldateien nicht manipuliert wurden. Da bleibt nur, den Quellcode jeder zu installierenden Software zu prüfen. Das dürfte allerdings keine Aufgabe sein, die man alleine in einem vernünftigen Zeitraum stemmen kann - auch, wenn man dafür 24/7 veranschlagen würde großes Grinsen

Das meinte ich...morgen sind dann übrigens die coreutils dran. Petzauge


__________________
Have you tried turning it off and on again?

/join #dedies-board.de
20.07.2008 01:27 Haui ist offline E-Mail an Haui senden Homepage von Haui Beiträge von Haui suchen Nehmen Sie Haui in Ihre Freundesliste auf Jabber Screennamen von Haui: haui45@jabber.ccc.de

Vimes Vimes ist männlich
Super Moderator


images/avatars/avatar-14.jpg

Dabei seit: 27.03.2005
Beiträge: 1.316

Level: 49 [?]
Erfahrungspunkte: 9.629.266
Nächster Level: 10.000.000
370.734 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Sag mir dann, ob sie vertrauenswürdig sind großes Grinsen

Mit so nem Code Audit läßt sich bestimmt ganz gut Geld verdienen, wenn man erstmal einen guten Ruf in der Branche hat ...

MfG
Vi-ich lern dann mal weiter C-mes


__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
20.07.2008 22:38 Vimes ist offline E-Mail an Vimes senden Beiträge von Vimes suchen Nehmen Sie Vimes in Ihre Freundesliste auf Fügen Sie Vimes in Ihre Kontaktliste ein YIM-Name von Vimes: jesusrettet
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Linux » News » Bericht: Paket-Management-Systeme unter Linux nur bedingt vertrauenswürdig

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2025 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;

Nach oben