Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apt: Buffer Overflow in Debians…

Vertraute Netzwerk umgebung?

  1. Thema

Neues Thema Ansicht wechseln


  1. Vertraute Netzwerk umgebung?

    Autor: jaykay2342 23.09.14 - 22:00

    Welche Netzwerk Umgebung ist denn so vertraut? Höchstens wenn man so dicht am Debian Mirror ist (von dem man sich das Update zieht) dass man die gesamte Infrastruktur dazwischen kennt und als sicher bewerten kann. Eine eher seltene Situation.

    Imho ist das beste weg sich das Update nicht per apt zu ziehen. Das .deb file einfach mit wget/curl oder was auch immer laden.

    Die andere Frage ist muss man nun nicht die Integrität aller Debian / apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke kannte und benutzt hat.

  2. Re: Vertraute Netzwerk umgebung?

    Autor: derats 23.09.14 - 22:02

    jaykay2342 schrieb:
    --------------------------------------------------------------------------------
    > Die andere Frage ist muss man nun nicht die Integrität aller Debian /
    > apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke
    > kannte und benutzt hat.

    Du kannst die installierten Dateien problemlos gegen das signierte Paket prüfen.

  3. Re: Vertraute Netzwerk umgebung?

    Autor: Niantic 23.09.14 - 22:04

    jaykay2342 schrieb:
    --------------------------------------------------------------------------------
    > Welche Netzwerk Umgebung ist denn so vertraut? Höchstens wenn man so dicht
    > am Debian Mirror ist (von dem man sich das Update zieht) dass man die
    > gesamte Infrastruktur dazwischen kennt und als sicher bewerten kann. Eine
    > eher seltene Situation.
    >
    > Imho ist das beste weg sich das Update nicht per apt zu ziehen. Das .deb
    > file einfach mit wget/curl oder was auch immer laden.
    >
    > Die andere Frage ist muss man nun nicht die Integrität aller Debian /
    > apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke
    > kannte und benutzt hat.


    naja die debian pakete sind signiert, eine Gefahr besteht daher IMHO nur WENN man ein präpariertes Paket in die offiziellen reposutories einschleusen kann oder aber man inoffizielle repositories benutzt deren Eigentümer nicht vertrauenswürdig ist. damit sollte es einfach reichen die repos auf den offiziellen Debian Server zu setzen, danna aptitude update machen, das apt update ziehen und zurueckstellen...

  4. Re: Vertraute Netzwerk umgebung?

    Autor: jaykay2342 23.09.14 - 22:07

    derats schrieb:
    --------------------------------------------------------------------------------
    > jaykay2342 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die andere Frage ist muss man nun nicht die Integrität aller Debian /
    > > apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke
    > > kannte und benutzt hat.
    >
    > Du kannst die installierten Dateien problemlos gegen das signierte Paket
    > prüfen.

    Wenn jemand root auf deinem System hatte und ein rootkit installiert hat kannst du nichts mehr sicher prüfen ohne ein anderes System zu booten.

  5. Re: Vertraute Netzwerk umgebung?

    Autor: jaykay2342 23.09.14 - 22:08

    Niantic schrieb:
    --------------------------------------------------------------------------------
    > jaykay2342 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Welche Netzwerk Umgebung ist denn so vertraut? Höchstens wenn man so
    > dicht
    > > am Debian Mirror ist (von dem man sich das Update zieht) dass man die
    > > gesamte Infrastruktur dazwischen kennt und als sicher bewerten kann.
    > Eine
    > > eher seltene Situation.
    > >
    > > Imho ist das beste weg sich das Update nicht per apt zu ziehen. Das
    > .deb
    > > file einfach mit wget/curl oder was auch immer laden.
    > >
    > > Die andere Frage ist muss man nun nicht die Integrität aller Debian /
    > > apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke
    > > kannte und benutzt hat.
    >
    > naja die debian pakete sind signiert, eine Gefahr besteht daher IMHO nur
    > WENN man ein präpariertes Paket in die offiziellen reposutories
    > einschleusen kann oder aber man inoffizielle repositories benutzt deren
    > Eigentümer nicht vertrauenswürdig ist. damit sollte es einfach reichen die
    > repos auf den offiziellen Debian Server zu setzen, danna aptitude update
    > machen, das apt update ziehen und zurueckstellen...

    Ne der buffer overflow ist im http part von apt. Das hat mit den paketen erst mal nichts zu tun.

  6. Re: Vertraute Netzwerk umgebung?

    Autor: manawyrm 23.09.14 - 23:12

    So wie ich das verstanden habe, ist der Bug im Pakete-runterladen.
    Ich fühle mich also "relativ"-sicher dabei, von unserem lokalen Paketmirror im RZ alle Rechner upzudaten.

    --------------
    #define true ((rand() % 2)? true: false)
    t.maedel@alfeld.de
    http://tbspace.de

  7. Re: Vertraute Netzwerk umgebung?

    Autor: jaykay2342 23.09.14 - 23:19

    manawyrm schrieb:
    --------------------------------------------------------------------------------
    > So wie ich das verstanden habe, ist der Bug im Pakete-runterladen.
    > Ich fühle mich also "relativ"-sicher dabei, von unserem lokalen Paketmirror
    > im RZ alle Rechner upzudaten.

    Wie ich schon sagte wenn man die Infrastruktur zwischen Rechner und Mirror als sicher einstufen kann ist es relativ sicher. Nur nicht jeder hat einen Mirror im eigenen Netz.
    Was auch interessant wäre zu wissen ob die Daten die den overflow triggern durch einen Proxy durch kann der das http normalisiert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Bonn, Meckenheim
  2. TÜV SÜD Gruppe, München
  3. Mentis International Human Resources GmbH, Großraum Nürnberg
  4. Adecco Personaldienstleistungen GmbH, Erfurt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 14,97€
  2. 107,00€ (Bestpreis!)
  3. 419,00€
  4. 79,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

  1. TLS-Zertifikat: Gesamter Internetverkehr in Kasachstan kann überwacht werden
    TLS-Zertifikat
    Gesamter Internetverkehr in Kasachstan kann überwacht werden

    In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.

  2. Ari 458: Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
    Ari 458
    Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro

    Ari 458 ist ein kleiner Lieferwagen mit Elektroantrieb, den der Hersteller mit Aufbauten für verschiedene Einsatzzwecke anbietet. Die Ausstattung ist einfach, dafür ist das Auto günstig.

  3. Quake: Tim Willits verlässt id Software
    Quake
    Tim Willits verlässt id Software

    Seit 24 Jahren ist Tim Willits einer der entscheidenden Macher bei id Software, nun kündigt er seinen Rückzug an. Was er künftig vorhat, will der ehemalige Leveldesigner und studierte Computerwissenschaftler erst nach der Quakecon verraten.


  1. 17:52

  2. 15:50

  3. 15:24

  4. 15:01

  5. 14:19

  6. 13:05

  7. 12:01

  8. 11:33