Linux Mint hierzo. Zojuist een update van apt aangeboden gekregen en geïnstalleerd. Goed bezig, kan bijna niet sneller.

Update gisteren en vandaag voorbij zien komen op verschillende systemen.

Debian raadt aan op de volgende manier de update binnen te halen:

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

https://www.debian.org/security/2019/dsa-4371

Slordig dat dit niet in het artikel genoemd wordt.

Hier Debian, Mint, Xubuntu en Manjaro, en hetzelfde. Kijk.... zo hoort het hè? Snel als de bliksem! En dan te bedenken dat er nog steeds mensen hier op deze website roepen dat het updatemechanisme en het updatebeleid onder Linux "zo slecht en traag" is. Dat is grote onzin. De praktijk leert: er is geen sneller updatebeleid- en mechanisme dan onder Linux. Ik kan er niks anders van maken dan het is.

Dat er mensen (beheerders) zijn die hun systemen niet bijhouden, dàt maakt systemen kwetsbaar. Maar iemand die zijn syste(e)m(en) braaf bijhoudt is mijns inziens het meest veilig met Linux en BSD, onder de voorwaarde dat men netjes alle updates en patches installeert.

Packages zijn toch gpg signed door het dev team niet door de mirror.... snap niet hoe deze aanval moet werken. Gpg signature is nogsteeds invalid bij een evil package.

Dat is iets wat mij altijd al verbaasde binnen Linux. Veel Windows applicaties hebben inmiddels de stap gemaakt naar HTTPS en laten downgraden ook niet toe. In ieder geval goed om te zien dat dit lek verholpen is.

Goed bezig? Hoe lang is deze exploit al bekend, dat is wat ik mij dan afvraag. Het binnenhalen van packages wordt standaard ook over HTTP aangeboden, dammn. Dat wist ik niet.

"Verder stelt Justicz dat het beter zou zijn om repositories standaard via https aan te bieden en gebruikers zelf de keuze te bieden om naar http te downgraden."

Eigenlijk had dit allang gemoeten!

Vergeet niet dat code signering ook moet failen. Dit is waarom je nooit zekerheidsfuncties uitschakelt of omzeilt. Beschouw het systeem tijdelijk offline. Zelfde gaat om code signaturen files. Waarom deze zonder controle vaak blind worden toegevoegd is mij een raadsel.

Kubuntu hier en gisteren nog de update binnengekregen.

Echt zo fijn, hoe snel er updates zijn om dit soort problemen op te lossen.
Dit vind ik echt een groot plus punt van Linux (mint).

Er is geen exploit gevonden, er is een beveiligingslek gevonden. Het is pas een exploit als een lek daadwerkelijk geëxploiteerd wordt, vandaar het woord exploit. Het beveiligingslek is pas gisteren gemeld en direct gedicht. Die snelheid van reageren is, zoals ik het lees, waar het "goed bezig" van de anoniem op wie je reageerde sloeg.

De vraag is natuurlijk of dit lek ook al door kwaadwillenden is ontdekt en misbruikt. Dat kan je niet uitsluiten, maar de kans dat dat op grote schaal is misgegaan lijkt me klein. Waarom? Omdat de kans dat er ergens ontdekt wordt dat er iets niet klopt groter wordt naarmate het op meer systemen misgaat, en als dat meer dan incidenteel gebeurt wordt het moeilijk om niet op een gegeven moment een verdenking te ontwikkelen dat er in apt zelf iets mis is en daar het onderzoek op te richten. Als dat gebeurt hoor je erover (bijvoorbeeld op deze website), en dat heb ik niet zien gebeuren. Da's geen garantie, maar als naar aanleiding van dit lek alsnog systemen worden ontdekt waar dingen niet kloppen (en er zullen mensen zijn die systemen gaan controleren) dan gaan we dat ongetwijfeld horen.
Nooit in /etc/apt/sources.list gekeken? Of in de weergave daarvan in de grafische interface op je package manager?
Tja, kennelijk lopen de discussies daarover soms hoog op. Op zich is het zo dat digitaal ondertekende checksums een sterkere bescherming geven dan https-toegang op een van de vele mirrors, omdat je ondanks alle omwegen via mirror-sites waarlangs een pakket je bereikt kan controleren of het pakket echt door je distro is uitgeveven, terwijl https alleen de laatste verbinding in de ketting betreft. Maar dan moet er geen beveiligingslek in dat primaire mechanisme zitten, natuurlijk, en dat bleek er nu wel te zijn. Het is dus zeker zo dat https iets toevoegt, maar besef wel dat het niet de primaire veiligheid is maar een mechanisme dat de kans op ellende verkleint als de primaire veiligheid faalt.