Pufferüberlauf im Debian-Paketmanager Apt
Zum zweiten Mal in kurzer Zeit mussten die Debian-Entwickler eine Lücke in ihrem Paketmanager Apt flicken. Der Pufferüberlauf könnte dazu führen, dass Angreifer Schadcode auf dem System ausführen können. Ubuntu ist ebenfalls betroffen.
- Fabian A. Scherschel
Die Debian-Entwickler melden zum zweiten Mal in diesem Monat Lücken in ihrem Paketmanager Apt (CVE-2014-6273). Dieses Mal ist es ein Pufferüberlauf im HTTP-Transportcode, entdeckt von Googles Security Team. Neben Debian sind auch andere Linux-Distributionen, die Apt einsetzen, betroffen – etwa Ubuntu. Ein Man-in-the-Middle könnte die Lücke ausnutzen, um Apt zum Absturz zu bringen. Das ist in der Regel der erste Schritt auf dem Weg, beliebigen Code auf dem System auszuführen. Bei Apt würde das dann mit Root-Rechten vonstatten gehen.
Viele Details zu der Lücke sind momentan noch nicht bekannt, sie dürfte aber gefährlicher sein als die fehlerhafte Überprüfung der Paketsignaturen, die vorige Woche behoben wurde. Ein Update, das die neue Lücke schließt, ist bereits erhältlich. Nutzer der Stable-Version von Debian (Wheezy) sollten die Version 0.9.7.9+deb7u5 installieren. Ubuntu stellt die Versionen 0.7.25.3ubuntu9.17.1 für Ubuntu 10.04 LTS, 0.8.16~exp12ubuntu10.20.1 für Ubuntu 12.04 LTS und 1.0.1ubuntu2.4.1 für die aktuelle Version Ubuntu 14.04 LTS bereit.
In der Regel erhalten Nutzer die neuen Versionen über den Update-Mechanismus ihrer Distribution, der wiederum Apt im Hintergrund nutzt. Da der Paketmanager ein so integraler Bestandteil des Systems ist, sollte er möglichst schnell aktualisiert werden. (fab)
