Paket-Management unter Linux "nicht" sicher? [Update]

Wie in einem Artikel unter prolinux.de und heise.de beschrieben, haben Justin Cappos, Justin Samuel, Scott Baker, John H. Hartman von der UniversitÀt Arizona einen Bericht verfasst der besagt das verschiedene Paketmanager gröÿerer Distributionen durch gefÀlschte Mirror leicht angreifbar sind.

Unter anderem wurde auch der Paketmanager yum getestet in diesem die genannten Sicherheitsforscher SicherheitslÌcken entdeckt haben mit dem es einem Angreifer möglich ist das System zu kompromitieren.

Dabei wird dem Benutzer beim Update absichtlich ein veraltetes Paket mit gÌltiger Signatur „untergejubelt“ in diesem sich eine oder mehrere bekannte SicherheitslÌcken befinden. Der Angreifer kann somit nach der Installation dieses Paketes die SicherheitslÌcke aktiv ausnutzen und das System gezielt angreifen.

In einem Test haben die Sicherheitsexperten selbst einen Mirrorserver aufgesetzt und diesen in die Mirrorlisten von verschiedenen Distributionen gesetzt, darunter auch Ubuntu und Fedora. WÀhrend des Tests gab es Tausende von Clientzugriffen.

Worunter nach Angaben der Experten auch Systeme des US-MilitÀrs waren.

Die Experten entwarfen daraufhin einige Schutzregeln wie zum Beispiel:

– System nur manuell Updaten

– Nur vertraute und bekannte Mirror verwenden

Interessanterweise haben die Autoren dieses Berichtes einen eigenen Paketmanager entwickelt Stork der vor solchen angriffen und gefÀlschten Mirrors schÌtzen soll.

Eine Liste von wohl vertrauenswÌrdigen Mirrorn fÌr Fedora Clients und Server befindet sich in dem fedorawiki.de Projekt.

Der beste Rat der Sicherheitsforscher bleibt wohl … nur vertrauenswÌrdige Mirror zu verwenden. Das System nur noch manuell zu updaten wÌrde wohl gegen das Prinzip und den Komfort der Paketmanager stimmen.

Nachzulesen ist der vollstÀndige Bericht (englisch) unter: Attacks on Package Mirror, University of Arizona

Update: Johnny Hughes vom CentOS Projekt hat inzwischen zu den Ergebnissen der Studie Stellung genommen und die aufgezeigten Gefahren, auf den CentOS Projekt bezogen, relativiert. Er betont unter anderem, das ein Mirror, der als „Public Mirror“ gelistet ist, nicht automatisch als Mirror fÌr CentOS Updates genutzt wird.