Menü
Alert!
Security

Kritische Sicherheitslücke in Debians Update-Tools

Debian-basierte Linux-Systeme weisen eine Sicherheitslücke auf, über die Angreifer das System während des Einspielens von Sicherheits-Updates kapern könnten.

Von
vorlesen Drucken Kommentare lesen 204 Beiträge
Kritische Sicherheitslücke in Debians Update-Tools

Es ist der Worst Case für ein Update-Konzept und er trifft Debian, Ubuntu & Co mit voller Wucht: Ein Lauscher an der Leitung könnte Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird. Ein aktuelles Sicherheits-Update schließt die Lücke und sollte bald möglichst eingespielt werden.

Der Angriff ist möglich, weil die Tools apt und apt-get die Updates ungesichert über herkömmliches HTTP aus dem Netz laden. So kann ein Angreifer im Netz die Kommunikation manipulieren und dabei über einen speziellen HTTP-Redirect nicht nur seinen Schadcode einschleusen, sondern auch die anschließende Prüfung digitaler Signaturen austricksen, die solche Manipulationen verhindern sollte. Der Entdecker des Bugs Max Justicz erklärt die Details des Angriffs in seinem Blog-Beitrag Remote Code Execution in apt/apt-get. Bei einem TLS-gesicherten Download via HTTPS wäre dies so nicht möglich.

Das Debian-Security-Team hat den Fehler nach der Benachrichtigung umgehend behoben (CVE-2019-3462). Auch auf einem Ubuntu-System in der heise-Security-Redaktion waren die Updates beim Schreiben der Meldung bereits verfügbar. Anwender und Admins sollten die aktualisierten Pakete für apt* möglichst schnell einspielen.

Die Veröffentlichung dieser Lücke platzt mitten in einen heftigen Streit über die Notwendigkeit von TLS/HTTPS für Sicherheits-Updates. Er entzündete sich an einem (erneuten) Bug-Report bei VLC, der die HTTP-Downloads monierte. Die Entwickler schlossen den Bug-Report als unbegründet. Als Argument wird dabei angeführt, dass die Pakete alle digital signiert seien und diese Signaturen vor der Installation auch geprüft würden. Der Hauptgrund für den Verzicht auf TLS ist die Tatsache, dass es das Caching der Downloads verhindert. Ähnliche Diskussionen gibt es auch immer wieder über die Debian-Update-Funktionen, die ähnlich funktionieren. (ju)