Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apt: Buffer Overflow in Debians…

Vertraute Netzwerk umgebung?

  1. Thema

Neues Thema Ansicht wechseln


  1. Vertraute Netzwerk umgebung?

    Autor: jaykay2342 23.09.14 - 22:00

    Welche Netzwerk Umgebung ist denn so vertraut? Höchstens wenn man so dicht am Debian Mirror ist (von dem man sich das Update zieht) dass man die gesamte Infrastruktur dazwischen kennt und als sicher bewerten kann. Eine eher seltene Situation.

    Imho ist das beste weg sich das Update nicht per apt zu ziehen. Das .deb file einfach mit wget/curl oder was auch immer laden.

    Die andere Frage ist muss man nun nicht die Integrität aller Debian / apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke kannte und benutzt hat.

  2. Re: Vertraute Netzwerk umgebung?

    Autor: derats 23.09.14 - 22:02

    jaykay2342 schrieb:
    --------------------------------------------------------------------------------
    > Die andere Frage ist muss man nun nicht die Integrität aller Debian /
    > apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke
    > kannte und benutzt hat.

    Du kannst die installierten Dateien problemlos gegen das signierte Paket prüfen.

  3. Re: Vertraute Netzwerk umgebung?

    Autor: Niantic 23.09.14 - 22:04

    jaykay2342 schrieb:
    --------------------------------------------------------------------------------
    > Welche Netzwerk Umgebung ist denn so vertraut? Höchstens wenn man so dicht
    > am Debian Mirror ist (von dem man sich das Update zieht) dass man die
    > gesamte Infrastruktur dazwischen kennt und als sicher bewerten kann. Eine
    > eher seltene Situation.
    >
    > Imho ist das beste weg sich das Update nicht per apt zu ziehen. Das .deb
    > file einfach mit wget/curl oder was auch immer laden.
    >
    > Die andere Frage ist muss man nun nicht die Integrität aller Debian /
    > apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke
    > kannte und benutzt hat.


    naja die debian pakete sind signiert, eine Gefahr besteht daher IMHO nur WENN man ein präpariertes Paket in die offiziellen reposutories einschleusen kann oder aber man inoffizielle repositories benutzt deren Eigentümer nicht vertrauenswürdig ist. damit sollte es einfach reichen die repos auf den offiziellen Debian Server zu setzen, danna aptitude update machen, das apt update ziehen und zurueckstellen...

  4. Re: Vertraute Netzwerk umgebung?

    Autor: jaykay2342 23.09.14 - 22:07

    derats schrieb:
    --------------------------------------------------------------------------------
    > jaykay2342 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die andere Frage ist muss man nun nicht die Integrität aller Debian /
    > > apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke
    > > kannte und benutzt hat.
    >
    > Du kannst die installierten Dateien problemlos gegen das signierte Paket
    > prüfen.

    Wenn jemand root auf deinem System hatte und ein rootkit installiert hat kannst du nichts mehr sicher prüfen ohne ein anderes System zu booten.

  5. Re: Vertraute Netzwerk umgebung?

    Autor: jaykay2342 23.09.14 - 22:08

    Niantic schrieb:
    --------------------------------------------------------------------------------
    > jaykay2342 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Welche Netzwerk Umgebung ist denn so vertraut? Höchstens wenn man so
    > dicht
    > > am Debian Mirror ist (von dem man sich das Update zieht) dass man die
    > > gesamte Infrastruktur dazwischen kennt und als sicher bewerten kann.
    > Eine
    > > eher seltene Situation.
    > >
    > > Imho ist das beste weg sich das Update nicht per apt zu ziehen. Das
    > .deb
    > > file einfach mit wget/curl oder was auch immer laden.
    > >
    > > Die andere Frage ist muss man nun nicht die Integrität aller Debian /
    > > apt-basierten Systeme in Frage stellen? Wer weiß schon wer diese Lücke
    > > kannte und benutzt hat.
    >
    > naja die debian pakete sind signiert, eine Gefahr besteht daher IMHO nur
    > WENN man ein präpariertes Paket in die offiziellen reposutories
    > einschleusen kann oder aber man inoffizielle repositories benutzt deren
    > Eigentümer nicht vertrauenswürdig ist. damit sollte es einfach reichen die
    > repos auf den offiziellen Debian Server zu setzen, danna aptitude update
    > machen, das apt update ziehen und zurueckstellen...

    Ne der buffer overflow ist im http part von apt. Das hat mit den paketen erst mal nichts zu tun.

  6. Re: Vertraute Netzwerk umgebung?

    Autor: manawyrm 23.09.14 - 23:12

    So wie ich das verstanden habe, ist der Bug im Pakete-runterladen.
    Ich fühle mich also "relativ"-sicher dabei, von unserem lokalen Paketmirror im RZ alle Rechner upzudaten.

    --------------
    #define true ((rand() % 2)? true: false)
    t.maedel@alfeld.de
    http://tbspace.de

  7. Re: Vertraute Netzwerk umgebung?

    Autor: jaykay2342 23.09.14 - 23:19

    manawyrm schrieb:
    --------------------------------------------------------------------------------
    > So wie ich das verstanden habe, ist der Bug im Pakete-runterladen.
    > Ich fühle mich also "relativ"-sicher dabei, von unserem lokalen Paketmirror
    > im RZ alle Rechner upzudaten.

    Wie ich schon sagte wenn man die Infrastruktur zwischen Rechner und Mirror als sicher einstufen kann ist es relativ sicher. Nur nicht jeder hat einen Mirror im eigenen Netz.
    Was auch interessant wäre zu wissen ob die Daten die den overflow triggern durch einen Proxy durch kann der das http normalisiert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ERWEKA GmbH, Langen
  2. operational services GmbH & Co. KG, Wolfsburg
  3. OSRAM GmbH, München
  4. Camelot Management Consultants AG, Mannheim, Köln, München, Basel (Schweiz)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 339,00€
  2. 269,00€
  3. (u. a. Far Cry New Dawn für 19,99€, Ghost Recon Wildlands für 15,99€, Rayman Legends für 4...
  4. (u. a. PUBG für 13,99€, Final Fantasy XIV - Shadowbringers für 27,49€, Mordhau für 19,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Linux-Gaming: Steam Play or GTFO!
Linux-Gaming
Steam Play or GTFO!

Meine ersten Gaming-Eindrücke nach dem Umstieg von Windows auf Linux sind dank Steam recht positiv gewesen: Doch was passiert, wenn ich die heile Steam-(Play-)Welt verlasse und trotzdem Windows-Spiele unter Linux starten möchte? Meine anfängliche Euphorie weicht Ernüchterung.
Ein Praxistest von Eric Ferrari-Herrmann

  1. Project Mainline und Apex Google bringt überall Android-Updates, außer am Kernel
  2. Ubuntu Lenovo bietet Laptops mit vorinstalliertem Linux an
  3. Steam Play Tschüss Windows, hallo Linux - ein Gamer zieht um

CO2-Emissionen und Lithium: Ist das Elektroauto wirklich ein Irrweg?
CO2-Emissionen und Lithium
Ist das Elektroauto wirklich ein Irrweg?

In den vergangenen Monaten ist die Kritik an batteriebetriebenen Elektroautos stärker geworden. Golem.de hat sich die Argumente der vielen Kritiker zur CO2-Bilanz und zum Rohstoff-Abbau einmal genauer angeschaut.
Eine Analyse von Friedhelm Greis

  1. Ari 458 Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
  2. Nobe 100 Dreirädriges Retro-Elektroauto parkt senkrecht an der Wand
  3. Protean 360+ Neuer elektrischer Antrieb macht Kleinbusse extrem wendig

Razer Blade 15 Advanced im Test: Treffen der Generationen
Razer Blade 15 Advanced im Test
Treffen der Generationen

Auf den ersten Blick ähneln sich das neue und das ein Jahr alte Razer Blade 15: Beide setzen auf ein identisches erstklassiges Chassis. Der größte Vorteil des neuen Modells sind aber nicht offensichtliche Argumente - sondern das, was drinnen steckt.
Ein Test von Oliver Nickel

  1. Blade 15 Advanced Razer packt RTX 2080 und OLED-Panel in 15-Zöller
  2. Blade Stealth (2019) Razer packt Geforce MX150 in 13-Zoll-Ultrabook

  1. Digitale Souveränität: Bundesregierung treibt den Aufbau einer Europa-Cloud voran
    Digitale Souveränität
    Bundesregierung treibt den Aufbau einer Europa-Cloud voran

    Aus Angst vor Industriespionage will die Bundesregierung eine Europa-Cloud - in Abgrenzung zu Anbietern wie Amazon, Microsoft und Google, die nach dem CLOUD-Act, den US-Behörden weitreichende Zugriffe auf die Daten geben müssen, auch wenn sie nicht in den USA gespeichert sind.

  2. 3G: Huawei soll Mobilfunknetz in Nordkorea ausgerüstet haben
    3G
    Huawei soll Mobilfunknetz in Nordkorea ausgerüstet haben

    Die Washington Post will Dokumente erhalten haben, die belegen sollen, dass Huawei ein Mobilfunknetz in Nordkorea ausgerüstet habe. Huawei hat dies dementiert.

  3. 5G-Media Initiative: Fernsehen über 5G geht nicht einfach über das Mobilfunknetz
    5G-Media Initiative
    Fernsehen über 5G geht nicht einfach über das Mobilfunknetz

    In einem Streit unter den Öffentlich-Rechtlichen wird dem Intendanten des Deutschlandradios erklärt, dass Rundfunk über 5G nicht einfach über die Netze der kommerziellen Betreiber ginge. Der Intendant hatte die Technik nicht ganz verstanden.


  1. 21:15

  2. 20:44

  3. 18:30

  4. 18:00

  5. 16:19

  6. 15:42

  7. 15:31

  8. 15:22