Какие опасности имеют дыры в системе безопасности ошибок Кв. вызванный (USN-2348-1)?

Question 1

Просто недавно 4 ошибки в Кв. менеджера по Пакету (основное в Ubuntu) были обнаружены. Особенно плохо для 12.04 LTS, поскольку 4 дыры в системе безопасности были найдены там.

Мой вопрос к тому, какие опасности имеют дыры в системе безопасности ошибок Кв. вызванный (USN-2348-1)?

Объяснения находятся на http://www.ubuntu.com/usn/usn-2348-1/, довольно кратки и только указывают

Было обнаружено, что APT не повторно проверил загруженные файлы, когда If-Modified-Since не был встречен. (CVE-2014-0487)

Было обнаружено, что APT не делал недействительным данные репозитория, когда это переключилось от неаутентифицируемого до аутентифицируемого состояния. (CVE-2014-0488)

Было обнаружено, что APT Получает:: опция GzipIndexes заставила APT пропускать проверку контрольной суммы. Эта проблема только относилась к Ubuntu 12.04 LTS и Ubuntu 14.04 LTS, и не была включена по умолчанию. (CVE-2014-0489)

Было обнаружено, что APT правильно не проверил подписи при ручной загрузке пакетов с помощью команды загрузки. Эта проблема только относилась к Ubuntu 12.04 LTS. (CVE-2014-0490)

Дополнительная информация т.е. следующим на http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0488.html и затем пытающийся читать об ошибке на https://bugs.launchpad.net/ubuntu / % 2Bsource/apt / % 2Bbug/1366702 не приводит к информации, поскольку сайт launchpad.net является битой ссылкой.

Ответ на этот вопрос должен был бы описать то, что 4 безопасности wholes будет означать посредством примера. Также было бы интересно знать, если пользователи, которые только использовали apt-get install [packagename] и apt-get update и apt-get dist-upgrade возможно, был дан злонамеренный debfiles или respository списки.

Question 2

Это - мой персональный анализ CVEs, считайте это с мелкой частицей соли.

Предисловие: ключи подписи

Большинство репозиториев снабжают цифровой подписью свои пакеты и списки с помощью такого ключа. Для официального repos ключи установлены вместе с основной системой. Если Вы вручную добавляете репозиторий или непосредственно путем добавления его к Вашему /etc/apt/sources.lst или /etc/apt/sources.list.d, то необходимо добавить что ключ репозитория вручную:

apt-key adv --recv-keys --keyserver keyserver.ubuntu.com ID

или apt-key add FILE в случае, если Вы загрузили ключ отдельно.

я не на 100% уверен, но по моему скромному мнению при использовании центра программного обеспечения или add-apt-repository, ключ установлен автоматически.

у пользователей Ubuntu, которые никогда не добавляли репозиторий (PPA) к их системе, должны быть все необходимые ключи.

Пользователи, которые на самом деле используют репозитории не импортировав ключ подписи, видят предупреждение вдоль строк ниже при установке от тех repos:

Вы собираетесь установить программное обеспечение, которое не может аутентифицироваться! Выполнение этого могло позволить злонамеренному человеку повреждать или брать под свой контроль Вашу систему.

CVE-2014-0487

, Если хеш в изменениях Файла версии, но файл, упоминаемый Файлом версии, подается с 304 ответами ( код состояния HTTP 304 ), склонный, проигнорировал обновленный файл и продолжил использовать старую версию файла, даже при том, что старая версия файла не соответствовала новому хешу.
Источник

, Если взломщику так или иначе удалось заставить Вас загрузить злонамеренный пакет, сказал, что взломщик мог заставить Вашу систему использовать старое, злонамеренное, файлы, которые были уже загружены вместо более свежего файла, доступного от repo.

, Если Вы никогда не использовали репозитории, не имея допустимого ключа подписи для repo, Вы, вероятно, не затронуты.

CVE-2014-0488

Это было обнаружено, что APT правильно не делал недействительным неаутентифицируемые данные. Предположите использование неаутентифицируемого repo. Вы загружаете / установка/... пакеты от этого repo и только позже добавляете ключ подписи для этого repo.

Все данные, это было уже загружено, просто сохранены. Это теоретически возможно, что Вы загрузили подделанные данные, потому что в то время, когда Вы были неспособны проверить что (из-за отсутствия ключа подписи). Теперь склонный был бы в состоянии проверить загруженные данные, но они не сделали. (Вместо этого это могло также просто выбросить все загруженное с этого repo и новая загрузка, на этот раз - с существующим ключом подписи - это могло проверить загрузки).

, Если Вы никогда не использовали репозитории, не имея допустимого ключа подписи для repo, Вы, вероятно, не затронуты.

CVE-2014-0489

Там является опцией, названной Acquire::GzipIndexes в способном. Эта опция отключена по умолчанию. Вот то, что страница справочника говорит об этом:

   GzipIndexes
       When downloading gzip compressed indexes (Packages, Sources, or
       Translations), keep them gzip compressed locally instead of
       unpacking them.

проблема была, что при установке этого на да, тогда проверка контрольной суммы не была выполнена, ведя к потенциально созданным пакетам, загружаемым / установленный/...

Личное сообщение: Я не мог найти, пропустил ли Acquire::CompressionTypes::Order:: "gz"; также проверку контрольной суммы.

, Если Вы никогда не устанавливаете Acquire::GzipIndexes в Вашем apt.conf, Вы, вероятно, не затронуты этой проблемой.

CVE-2014-0490

можно использовать apt-get download для загрузки пакетов. Если Вы делаете так и не имеете ключа подписи репозитория, то Вы загружаете пакеты, которые Вы не можете проверить целостность (потому что Вы испытываете недостаток в ключе). В этом случае, склонный должен был предупредить Вас, что Вы делаете что-то потенциально небезопасное, таким образом, можно думать дважды об установке этих пакетов.
проблема: склонный не заметил пользователя. Если Вы никогда не использовали apt-get download, Вы, вероятно, не затронуты этой проблемой.

Патчи

Щелкают здесь для наблюдения соответствующего patchset для Debian.

Мои операторы являются чисто информационными, не полагайтесь на них

Question 3

Question 4

Если Вы используете поддерживаемые версии Ubuntu тогда эти & другая безопасность портится знаменитый, обычно заботятся о быстро. Таким образом, если безопасность & обновления repos включены в Ваших источниках, тогда остающихся в курсе, будет заботиться об этом & любые другие.

Исключая в способном. -

склонный (0.8.16~exp12ubuntu10.20.1) точная безопасность; обновление системы защиты urgency=low

:
- фиксируют потенциальное переполнение буфера, благодаря Google Security Team (CVE-2014-6273)
Фиксируют регрессию в 0.9.7.9+deb7u3, когда источники file:/// используются, и те находятся на различном разделе, чем способное состояние directoryo (LP: № 1371058)
Возвращаются FileFd:: изменение ReadOnlyGzip
Фиксирует регрессию когда Dir:: состояние:: списки установлены на относительный путь
, Фиксируют регрессию когда CD-ROM: источники были переписаны способным CD-ROM, добавляют

- Michael Vogt вторник, 23 сентября 2014 9:02:26 +0200

склонный (0.8.16~exp12ubuntu10.19) точная безопасность; обновление системы защиты urgency=low

:
- неправильное лишение законной силы неаутентифицируемых данных (CVE-2014-0488)
- неправильная проверка 304 ответов (CVE-2014-0487)
- неправильная проверка Получите:: индексы Gzip (CVE-2014-0489)
- неправильный склонный - получают проверку загрузки (CVE-2014-0490)
- Michael Vogt понедельник, 15 сентября 2014 8:23:20 +0200

, Таким образом, проблемы тезисов были устранены несколько недель назад

Jan · Answer 1 · 7 October 2019 в 02:01

Это - мой персональный анализ CVEs, считайте это с мелкой частицей соли.

Предисловие: ключи подписи

Большинство репозиториев снабжают цифровой подписью свои пакеты и списки с помощью такого ключа. Для официального repos ключи установлены вместе с основной системой. Если Вы вручную добавляете репозиторий или непосредственно путем добавления его к Вашему /etc/apt/sources.lst или /etc/apt/sources.list.d, то необходимо добавить что ключ репозитория вручную:

apt-key adv --recv-keys --keyserver keyserver.ubuntu.com ID

или apt-key add FILE в случае, если Вы загрузили ключ отдельно.

я не на 100% уверен, но по моему скромному мнению при использовании центра программного обеспечения или add-apt-repository, ключ установлен автоматически.

у пользователей Ubuntu, которые никогда не добавляли репозиторий (PPA) к их системе, должны быть все необходимые ключи.

Пользователи, которые на самом деле используют репозитории не импортировав ключ подписи, видят предупреждение вдоль строк ниже при установке от тех repos:

Вы собираетесь установить программное обеспечение, которое не может аутентифицироваться! Выполнение этого могло позволить злонамеренному человеку повреждать или брать под свой контроль Вашу систему.

CVE-2014-0487

, Если хеш в изменениях Файла версии, но файл, упоминаемый Файлом версии, подается с 304 ответами ( код состояния HTTP 304 ), склонный, проигнорировал обновленный файл и продолжил использовать старую версию файла, даже при том, что старая версия файла не соответствовала новому хешу.
Источник

, Если взломщику так или иначе удалось заставить Вас загрузить злонамеренный пакет, сказал, что взломщик мог заставить Вашу систему использовать старое, злонамеренное, файлы, которые были уже загружены вместо более свежего файла, доступного от repo.

, Если Вы никогда не использовали репозитории, не имея допустимого ключа подписи для repo, Вы, вероятно, не затронуты.

CVE-2014-0488

Это было обнаружено, что APT правильно не делал недействительным неаутентифицируемые данные. Предположите использование неаутентифицируемого repo. Вы загружаете / установка/... пакеты от этого repo и только позже добавляете ключ подписи для этого repo.

Все данные, это было уже загружено, просто сохранены. Это теоретически возможно, что Вы загрузили подделанные данные, потому что в то время, когда Вы были неспособны проверить что (из-за отсутствия ключа подписи). Теперь склонный был бы в состоянии проверить загруженные данные, но они не сделали. (Вместо этого это могло также просто выбросить все загруженное с этого repo и новая загрузка, на этот раз - с существующим ключом подписи - это могло проверить загрузки).

, Если Вы никогда не использовали репозитории, не имея допустимого ключа подписи для repo, Вы, вероятно, не затронуты.

CVE-2014-0489

Там является опцией, названной Acquire::GzipIndexes в способном. Эта опция отключена по умолчанию. Вот то, что страница справочника говорит об этом:

   GzipIndexes
       When downloading gzip compressed indexes (Packages, Sources, or
       Translations), keep them gzip compressed locally instead of
       unpacking them.

проблема была, что при установке этого на да, тогда проверка контрольной суммы не была выполнена, ведя к потенциально созданным пакетам, загружаемым / установленный/...

Личное сообщение: Я не мог найти, пропустил ли Acquire::CompressionTypes::Order:: "gz"; также проверку контрольной суммы.

, Если Вы никогда не устанавливаете Acquire::GzipIndexes в Вашем apt.conf, Вы, вероятно, не затронуты этой проблемой.

CVE-2014-0490

можно использовать apt-get download для загрузки пакетов. Если Вы делаете так и не имеете ключа подписи репозитория, то Вы загружаете пакеты, которые Вы не можете проверить целостность (потому что Вы испытываете недостаток в ключе). В этом случае, склонный должен был предупредить Вас, что Вы делаете что-то потенциально небезопасное, таким образом, можно думать дважды об установке этих пакетов.
проблема: склонный не заметил пользователя. Если Вы никогда не использовали apt-get download, Вы, вероятно, не затронуты этой проблемой.

Патчи

Щелкают здесь для наблюдения соответствующего patchset для Debian.

Мои операторы являются чисто информационными, не полагайтесь на них

doug · Answer 2 · 7 October 2019 в 02:01

Если Вы используете поддерживаемые версии Ubuntu тогда эти & другая безопасность портится знаменитый, обычно заботятся о быстро. Таким образом, если безопасность & обновления repos включены в Ваших источниках, тогда остающихся в курсе, будет заботиться об этом & любые другие.

Исключая в способном. -

склонный (0.8.16~exp12ubuntu10.20.1) точная безопасность; обновление системы защиты urgency=low

:
- фиксируют потенциальное переполнение буфера, благодаря Google Security Team (CVE-2014-6273)
Фиксируют регрессию в 0.9.7.9+deb7u3, когда источники file:/// используются, и те находятся на различном разделе, чем способное состояние directoryo (LP: № 1371058)
Возвращаются FileFd:: изменение ReadOnlyGzip
Фиксирует регрессию когда Dir:: состояние:: списки установлены на относительный путь
, Фиксируют регрессию когда CD-ROM: источники были переписаны способным CD-ROM, добавляют

- Michael Vogt вторник, 23 сентября 2014 9:02:26 +0200

склонный (0.8.16~exp12ubuntu10.19) точная безопасность; обновление системы защиты urgency=low

:
- неправильное лишение законной силы неаутентифицируемых данных (CVE-2014-0488)
- неправильная проверка 304 ответов (CVE-2014-0487)
- неправильная проверка Получите:: индексы Gzip (CVE-2014-0489)
- неправильный склонный - получают проверку загрузки (CVE-2014-0490)
- Michael Vogt понедельник, 15 сентября 2014 8:23:20 +0200

, Таким образом, проблемы тезисов были устранены несколько недель назад

Какие опасности имеют дыры в системе безопасности ошибок Кв. вызванный (USN-2348-1)?

2 ответа

Предисловие: ключи подписи

CVE-2014-0487

CVE-2014-0488

CVE-2014-0489

CVE-2014-0490

Патчи

Другие вопросы по тегам:

Похожие вопросы: