image

Lek in apt maakte uitvoeren van code als root mogelijk

dinsdag 22 januari 2019, 17:22 door Redactie, 12 reacties

Een beveiligingslek in de package manager apt maakte het mogelijk voor aanvallers om in bepaalde gevallen op afstand code met rootrechten uit te voeren. De aanval was mogelijk in het geval een aanvaller een man-in-the-middle-positie had of er met een kwaadaardige package mirror verbinding werd gemaakt.

Dat laat beveiligingsonderzoeker Max Justicz weten die de kwetsbaarheid ontdekte. Het door Debian ontwikkelde apt speelt een belangrijke rol bij het up-to-date houden van sommige besturingssystemen. Het zoeken naar beschikbare updates en packages door apt loopt vaak standaard via het onversleutelde http. Een aanvaller op hetzelfde netwerk kan zodoende het verkeer van de gebruiker onderscheppen. De onderzoeker ontdekte dat de aanvaller een antwoord op een specifiek apt-verzoek kan geven waarbij er een kwaadaardig bestand wordt aangeboden.

Apt controleert wel de checksum van een package, maar met deze aanval kan de aanvaller doorgeven dat de checksum van het kwaadaardige bestand de juiste is. De kwetsbaarheid met CVE-nummer 2019-3462 is in de laatste versie van apt gepatcht. Gebruikers die bang zijn dat ze tijdens het updateproces worden aangevallen kunnen zich beschermen door http-redirects tijdens de update uit te schakelen. Verder stelt Justicz dat het beter zou zijn om repositories standaard via https aan te bieden en gebruikers zelf de keuze te bieden om naar http te downgraden.

Reacties (12)
22-01-2019, 17:35 door Anoniem
Linux Mint hierzo. Zojuist een update van apt aangeboden gekregen en geïnstalleerd. Goed bezig, kan bijna niet sneller.
22-01-2019, 17:53 door Anoniem
Update gisteren en vandaag voorbij zien komen op verschillende systemen.
23-01-2019, 00:42 door Anoniem
Debian raadt aan op de volgende manier de update binnen te halen:

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

https://www.debian.org/security/2019/dsa-4371

Slordig dat dit niet in het artikel genoemd wordt.
23-01-2019, 01:17 door Anoniem
Door Anoniem: Linux Mint hierzo. Zojuist een update van apt aangeboden gekregen en geïnstalleerd. Goed bezig, kan bijna niet sneller.
Hier Debian, Mint, Xubuntu en Manjaro, en hetzelfde. Kijk.... zo hoort het hè? Snel als de bliksem! En dan te bedenken dat er nog steeds mensen hier op deze website roepen dat het updatemechanisme en het updatebeleid onder Linux "zo slecht en traag" is. Dat is grote onzin. De praktijk leert: er is geen sneller updatebeleid- en mechanisme dan onder Linux. Ik kan er niks anders van maken dan het is.

Dat er mensen (beheerders) zijn die hun systemen niet bijhouden, dàt maakt systemen kwetsbaar. Maar iemand die zijn syste(e)m(en) braaf bijhoudt is mijns inziens het meest veilig met Linux en BSD, onder de voorwaarde dat men netjes alle updates en patches installeert.
23-01-2019, 02:29 door Anoniem
Packages zijn toch gpg signed door het dev team niet door de mirror.... snap niet hoe deze aanval moet werken. Gpg signature is nogsteeds invalid bij een evil package.
23-01-2019, 03:18 door Anoniem
Dat is iets wat mij altijd al verbaasde binnen Linux. Veel Windows applicaties hebben inmiddels de stap gemaakt naar HTTPS en laten downgraden ook niet toe. In ieder geval goed om te zien dat dit lek verholpen is.
23-01-2019, 08:09 door ShaWormHa
Door Anoniem: Linux Mint hierzo. Zojuist een update van apt aangeboden gekregen en geïnstalleerd. Goed bezig, kan bijna niet sneller.

Goed bezig? Hoe lang is deze exploit al bekend, dat is wat ik mij dan afvraag. Het binnenhalen van packages wordt standaard ook over HTTP aangeboden, dammn. Dat wist ik niet.

"Verder stelt Justicz dat het beter zou zijn om repositories standaard via https aan te bieden en gebruikers zelf de keuze te bieden om naar http te downgraden."

Eigenlijk had dit allang gemoeten!
23-01-2019, 08:31 door Anoniem
Vergeet niet dat code signering ook moet failen. Dit is waarom je nooit zekerheidsfuncties uitschakelt of omzeilt. Beschouw het systeem tijdelijk offline. Zelfde gaat om code signaturen files. Waarom deze zonder controle vaak blind worden toegevoegd is mij een raadsel.
23-01-2019, 08:59 door Anoniem
Kubuntu hier en gisteren nog de update binnengekregen.
23-01-2019, 09:00 door Anoniem
Echt zo fijn, hoe snel er updates zijn om dit soort problemen op te lossen.
Dit vind ik echt een groot plus punt van Linux (mint).
23-01-2019, 10:10 door Anoniem
Door Samsonait:
Door Anoniem: Linux Mint hierzo. Zojuist een update van apt aangeboden gekregen en geïnstalleerd. Goed bezig, kan bijna niet sneller.

Goed bezig? Hoe lang is deze exploit al bekend, dat is wat ik mij dan afvraag.
Er is geen exploit gevonden, er is een beveiligingslek gevonden. Het is pas een exploit als een lek daadwerkelijk geëxploiteerd wordt, vandaar het woord exploit. Het beveiligingslek is pas gisteren gemeld en direct gedicht. Die snelheid van reageren is, zoals ik het lees, waar het "goed bezig" van de anoniem op wie je reageerde sloeg.

De vraag is natuurlijk of dit lek ook al door kwaadwillenden is ontdekt en misbruikt. Dat kan je niet uitsluiten, maar de kans dat dat op grote schaal is misgegaan lijkt me klein. Waarom? Omdat de kans dat er ergens ontdekt wordt dat er iets niet klopt groter wordt naarmate het op meer systemen misgaat, en als dat meer dan incidenteel gebeurt wordt het moeilijk om niet op een gegeven moment een verdenking te ontwikkelen dat er in apt zelf iets mis is en daar het onderzoek op te richten. Als dat gebeurt hoor je erover (bijvoorbeeld op deze website), en dat heb ik niet zien gebeuren. Da's geen garantie, maar als naar aanleiding van dit lek alsnog systemen worden ontdekt waar dingen niet kloppen (en er zullen mensen zijn die systemen gaan controleren) dan gaan we dat ongetwijfeld horen.
Het binnenhalen van packages wordt standaard ook over HTTP aangeboden, dammn. Dat wist ik niet.
Nooit in /etc/apt/sources.list gekeken? Of in de weergave daarvan in de grafische interface op je package manager?
"Verder stelt Justicz dat het beter zou zijn om repositories standaard via https aan te bieden en gebruikers zelf de keuze te bieden om naar http te downgraden."

Eigenlijk had dit allang gemoeten!
Tja, kennelijk lopen de discussies daarover soms hoog op. Op zich is het zo dat digitaal ondertekende checksums een sterkere bescherming geven dan https-toegang op een van de vele mirrors, omdat je ondanks alle omwegen via mirror-sites waarlangs een pakket je bereikt kan controleren of het pakket echt door je distro is uitgeveven, terwijl https alleen de laatste verbinding in de ketting betreft. Maar dan moet er geen beveiligingslek in dat primaire mechanisme zitten, natuurlijk, en dat bleek er nu wel te zijn. Het is dus zeker zo dat https iets toevoegt, maar besef wel dat het niet de primaire veiligheid is maar een mechanisme dat de kans op ellende verkleint als de primaire veiligheid faalt.
23-01-2019, 13:26 door ShaWormHa
Door Anoniem:
Door Samsonait:
Door Anoniem: Linux Mint hierzo. Zojuist een update van apt aangeboden gekregen en geïnstalleerd. Goed bezig, kan bijna niet sneller.

De vraag is natuurlijk of dit lek ook al door kwaadwillenden is ontdekt en misbruikt. Dat kan je niet uitsluiten, maar de kans dat dat op grote schaal is misgegaan lijkt me klein. Waarom? Omdat de kans dat er ergens ontdekt wordt dat er iets niet klopt groter wordt naarmate het op meer systemen misgaat, en als dat meer dan incidenteel gebeurt wordt het moeilijk om niet op een gegeven moment een verdenking te ontwikkelen dat er in apt zelf iets mis is en daar het onderzoek op te richten. Als dat gebeurt hoor je erover (bijvoorbeeld op deze website), en dat heb ik niet zien gebeuren. Da's geen garantie, maar als naar aanleiding van dit lek alsnog systemen worden ontdekt waar dingen niet kloppen (en er zullen mensen zijn die systemen gaan controleren) dan gaan we dat ongetwijfeld horen.

Akkoord, blijft wel in je achterhoofd spoken natuurlijk.

Het binnenhalen van packages wordt standaard ook over HTTP aangeboden, dammn. Dat wist ik niet.
Nooit in /etc/apt/sources.list gekeken? Of in de weergave daarvan in de grafische interface op je package manager?

Nein. ik maak amper gebruik van Debian of versies van Debian. Dus vandaag dat ik het niet wist :-) Ik heb wel eens gekeken in de /etc/apt/sources.list volgens mij om een aantal opties toe te voegen. Maar dat was een hele lange tijd geleden, Debian Lenny of Etch.

"Verder stelt Justicz dat het beter zou zijn om repositories standaard via https aan te bieden en gebruikers zelf de keuze te bieden om naar http te downgraden."

Eigenlijk had dit allang gemoeten!
Tja, kennelijk lopen de discussies daarover soms hoog op. Op zich is het zo dat digitaal ondertekende checksums een sterkere bescherming geven dan https-toegang op een van de vele mirrors, omdat je ondanks alle omwegen via mirror-sites waarlangs een pakket je bereikt kan controleren of het pakket echt door je distro is uitgeveven, terwijl https alleen de laatste verbinding in de ketting betreft. Maar dan moet er geen beveiligingslek in dat primaire mechanisme zitten, natuurlijk, en dat bleek er nu wel te zijn. Het is dus zeker zo dat https iets toevoegt, maar besef wel dat het niet de primaire veiligheid is maar een mechanisme dat de kans op ellende verkleint als de primaire veiligheid faalt.

Klopt, maar als je zoals jij eigenlijk ook al schetst een korte kosten baten afweging maakt zie ik eigenlijk weinig redenen om niet te switchen naar https. Los van het feit dat zon change niet van vandaag of morgen doorgevoert is. Eigenlijk verwacht je van somimge distributies (En Debian hoort daar zeker bij) Dat dit soort update mechanismes gewoon via https lopen. De kans is klein dat er iets misgaat en het blijft een stukje scheinveiligheid, But still.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.