Für das Update-Konzept von Debian, Ubuntu & Co ist der Worst Case eingetreten. Code könnte von einem Lauscher an der Leitung eingeschleust werden, der dann als Root auf dem System des Opfers ausgeführt wird. Die Lücke wird von einem aktuellen Sicherheits-Update geschlossen und sollte bald möglichst eingespielt werden.

Weil die Tools apt und apt-get die Updates ungesichert über herkömmliches HTTP aus dem Netz laden, sind die Angriffe möglich. Dadurch kann ein Angreifer im Netz die Kommunikation manipulieren und dabei über einen speziellen HTTP-Redirect nicht nur seinen Schadcode einschleusen, sondern auch die anschließende Prüfung digitaler Signaturen austricksen, die solche Manipulationen verhindern sollte.

Max Justicz, der Entdecker des Bugs, erklärt die Details des Angriffs in seinem Blog-Beitrag Remote Code Execution in apt/apt-get. Der Angriff wäre mit einem TLS-gesicherten Download via HTTPS nicht möglich. Nach der Benachrichtigung hat das Debian-Security-Team den Fehler umgehend behoben (CVE-2019-3462).

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE