Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apt: Bug in Debian-Paketmanager…

Es geht auch bequemer

  1. Thema

Neues Thema Ansicht wechseln


  1. Es geht auch bequemer

    Autor: otto06217 23.01.19 - 12:27

    Mein Rezept sieht so aus:
    1. Man lege eine Datei z. B. mit dem Namen 99redirect unter /etc/apt/apt.conf.d an.
    2. Man befülle sie mit Acquire::http::AllowRedirect=false;

    Die Kommandos apt(-get) update bzw. apt(-get) upgrade -o Acquire::http::AllowRedirect=false abzusetzen, wäre mir zu lästig, außerdem greift die Direktive dann auch für synaptic.

    Leicht verwirrte Grüße

  2. Re: Es geht auch bequemer

    Autor: EWCH 23.01.19 - 13:47

    danke, genau das hab ich gesucht

  3. Re: Es geht auch bequemer

    Autor: otto06217 23.01.19 - 14:09

    In dem Zusammenhang wäre es schön zu wissen, welche Vorteile Redirects überhaupt aufzuweisen haben bzw. aus welchen Gründen sie nötig sind.
    Ich lasse mich gerne belehren.

  4. Re: Es geht auch bequemer

    Autor: Wyall 23.01.19 - 15:42

    Geht es nicht nur darum diesen Befehl einmal jetzt zu benutzen um das neueste apt Update zu bekommen? Danach wäre es dann ja wieder "egal"

  5. Re: Es geht auch bequemer

    Autor: otto06217 23.01.19 - 16:16

    Wyall schrieb:
    --------------------------------------------------------------------------------
    > Geht es nicht nur darum diesen Befehl einmal jetzt zu benutzen um das
    > neueste apt Update zu bekommen? Danach wäre es dann ja wieder "egal"
    Ich empfehle, generell so vorzugehen.

  6. Re: Es geht auch bequemer

    Autor: Iruwen 23.01.19 - 16:41

    otto06217 schrieb:
    --------------------------------------------------------------------------------
    > In dem Zusammenhang wäre es schön zu wissen, welche Vorteile Redirects
    > überhaupt aufzuweisen haben bzw. aus welchen Gründen sie nötig sind.
    > Ich lasse mich gerne belehren.

    Weil dein Repo auf eine neue Domain umgezogen ist und Leute nach 10 Jahren immer noch die alte verwenden z.B. - oder weil du zwangsweise von HTTP auf HTTPS umleiten möchtest, was natürlich besonders ironisch wäre.

  7. Re: Es geht auch bequemer

    Autor: ChrisE 23.01.19 - 16:59

    otto06217 schrieb:
    --------------------------------------------------------------------------------
    > In dem Zusammenhang wäre es schön zu wissen, welche Vorteile Redirects
    > überhaupt aufzuweisen haben bzw. aus welchen Gründen sie nötig sind.
    > Ich lasse mich gerne belehren.

    Mit redirects arbeitet OpenSuse schon seit Jahren. Die Infos welche Pakete und in welcher Version es gibt holst du dir bei einem zentralen Server (z.B. download.opensuse.org). Du frägst auch dort für den Download der Datei nach. Anstatt, dass dir der Server die Datei gibt, schaut er aber nach aus welchem Netzwerk du kommst und leitet dich zum am besten geeigneten Server um - aber nur für die eine Datei. Sollte kein einziger Server die Datei haben liefert er sie direkt aus. Ist also eine dynamische Lastverteilung.

    Ja, du könntest auch einfach den bei dir liegenden Mirror immer nutzen. Aber OpenSuse setzt MirrorBrain ein. Das schaut regelmäßig nach, ob die Mirror erreichbar und aktuell sind. Du wirst nur auf einen Server umgeleitet, der auch online ist und die Datei auch hat. Wenn bei dem Mirror deiner Wahl die Synchronisierung fehlschlägt merkst du das nicht. Kann also gut sein, dass dein System veraltet obwohl "apt-get update && apt-get upgrade" sagt du hättest alles.

    So als Beispiel, um zu sehen wie viele Mirrors hinterlegt sind: http://download.opensuse.org/distribution/openSUSE-current/iso/openSUSE-Leap-15.0-DVD-x86_64-Current.iso.mirrorlist

  8. Re: Es geht auch bequemer

    Autor: otto06217 23.01.19 - 18:04

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > otto06217 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > In dem Zusammenhang wäre es schön zu wissen, welche Vorteile Redirects
    > > überhaupt aufzuweisen haben bzw. aus welchen Gründen sie nötig sind.
    > > Ich lasse mich gerne belehren.
    >
    > Weil dein Repo auf eine neue Domain umgezogen ist und Leute nach 10 Jahren
    > immer noch die alte verwenden z.B. - oder weil du zwangsweise von HTTP auf
    > HTTPS umleiten möchtest, was natürlich besonders ironisch wäre.

    Grundsätzlich sollten Ressourcen über einen gewissen Zeitraum existieren. Das 10-Jahres-Argument zieht nicht, aber lassen wir uns den Bug aus der Nähe betrachten:
    https://justi.cz/security/2019/01/22/apt-rce.html

  9. Re: Es geht auch bequemer

    Autor: otto06217 23.01.19 - 18:39

    ChrisE schrieb:
    --------------------------------------------------------------------------------
    > otto06217 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > In dem Zusammenhang wäre es schön zu wissen, welche Vorteile Redirects
    > > überhaupt aufzuweisen haben bzw. aus welchen Gründen sie nötig sind.
    > > Ich lasse mich gerne belehren.
    >
    > Mit redirects arbeitet OpenSuse schon seit Jahren. Die Infos welche Pakete
    > und in welcher Version es gibt holst du dir bei einem zentralen Server
    > (z.B. download.opensuse.org). Du frägst auch dort für den Download der
    > Datei nach. Anstatt, dass dir der Server die Datei gibt, schaut er aber
    > nach aus welchem Netzwerk du kommst und leitet dich zum am besten
    > geeigneten Server um - aber nur für die eine Datei. Sollte kein einziger
    > Server die Datei haben liefert er sie direkt aus. Ist also eine dynamische
    > Lastverteilung.
    >
    > Ja, du könntest auch einfach den bei dir liegenden Mirror immer nutzen.
    > Aber OpenSuse setzt MirrorBrain ein. Das schaut regelmäßig nach, ob die
    > Mirror erreichbar und aktuell sind. Du wirst nur auf einen Server
    > umgeleitet, der auch online ist und die Datei auch hat. Wenn bei dem Mirror
    > deiner Wahl die Synchronisierung fehlschlägt merkst du das nicht. Kann also
    > gut sein, dass dein System veraltet obwohl "apt-get update && apt-get
    > upgrade" sagt du hättest alles.
    >
    > So als Beispiel, um zu sehen wie viele Mirrors hinterlegt sind:
    > download.opensuse.org

    Das Mirror-Konzept ist nichts, das ich nicht verstehe.

  10. Re: Es geht auch bequemer

    Autor: 1ras 24.01.19 - 01:53

    Das Sperren von Redirects ist nur einmalig zum Herunterladen der neuen Apt-Pakete nötig, da dies noch mit der alten, auf dem System installierten Apt-Version erfolgt, welche angreifbar ist.

    Sobald Apt upgedated ist, ist das Sperren der Redirects schon wieder hinfällig.

    Außerdem arbeiten viele Debian Security Server ebenfalls mit Redirects, so dass oft auch noch der Sources.list Eintrag für Debian Security Updates angepasst werde muss. Dieser Hinweis fehlt auch in der Golem Newsmeldung.

  11. Re: Es geht auch bequemer

    Autor: Iruwen 24.01.19 - 09:29

    Ich verwende grundsätzlich nur die internen Mirror unserer Rechenzentren und für Drittanbieterpakete HTTPS, von daher auch keine Gefahr. Hab davon auch zuerst über deren Social Media Kanäle erfahren und da war das Problem ihrerseits schon behoben, fand ich durchaus beruhigend.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SV Informatik GmbH, Stuttgart
  2. Ingolstädter Kommunalbetriebe AöR, Ingolstadt
  3. Interflex Datensysteme GmbH, Erlangen, Karlsruhe
  4. mrm2 automatisierungstechnik gmbh, Bad Ditzenbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-80%) 11,99€
  2. (-62%) 11,50€
  3. 34,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Magnetfeld: Wenn der Nordpol wandern geht
Magnetfeld
Wenn der Nordpol wandern geht

Das Erdmagnetfeld macht nicht das, was Geoforscher erwartet hatten - Nachjustierungen am irdischen Magnetmodell sind erforderlich.
Ein Bericht von Dirk Eidemüller

  1. Emotionen erkennen Ein Lächeln macht noch keinen Frohsinn
  2. Ökostrom Wie Norddeutschland die Energiewende vormacht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
Android-Smartphone
10 Jahre in die Vergangenheit in 5 Tagen

Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
Ein Erfahrungsbericht von Martin Wolf

  1. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
  2. Google Auf dem Weg zu reinen 64-Bit-Android-Apps
  3. Sicherheitslücke Mit Skype Android-PIN umgehen

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

  1. Datenskandal: Briten kritisieren Facebook als "digitale Gangster"
    Datenskandal
    Briten kritisieren Facebook als "digitale Gangster"

    In einem aufsehenerregenden Bericht dokumentiert das britische Parlament, wie Facebook die Daten seiner Nutzer für Werbezwecke verkauft. Die Untersuchungskommission fordert eine neuartige Regulierung sozialer Medien.

  2. Carsharing: Regierung will Mobilitätsdienste per Gesetz stärken
    Carsharing
    Regierung will Mobilitätsdienste per Gesetz stärken

    Die digitalen Plattformen für Carsharing und Carpooling sollen Rechtssicherheit bekommen. BMW, Daimler und VW sowie Uber & Co. stehen in den Startlöchern.

  3. BSI: Mehr Sicherheitsvorfälle bei kritischer Infrastruktur
    BSI
    Mehr Sicherheitsvorfälle bei kritischer Infrastruktur

    Die Sicherheitslage ist angespannt. Immer mehr Sicherheitsvorfälle werden dem BSI gemeldet. Die Zahlen sind jedoch wenig aussagekräftig.


  1. 14:35

  2. 14:17

  3. 13:53

  4. 13:38

  5. 13:23

  6. 13:04

  7. 12:01

  8. 11:26