zurück zum Artikel

Im Paketmanager Apt der Linux-Distributionen klafften mehrere Lücken, die unter Umständen das Installieren von Paketen mit falscher Signatur erlaubt hätten. Diese sind nun mit einem Update geschlossen worden.

Das Sicherheitsteam der Linux-Distribution Debian hat ein Update für den Paketmanager Apt veröffentlicht. Die neue Version schließt eine ganze Reihe von Lücken bei der Überprüfung von Paketsignaturen [1], die eventuell ausgenutzt werden könnten, um einem Nutzer falsch signierte Pakete unterzuschieben. Die Entwickler empfehlen Apt-Nutzern den Paketmanager so schnell wie möglich zu aktualisieren. Auch Ubuntu verteilt bereits entsprechende Updates [2].

Nutzer der stabilen Debian-Variante (Wheezy) sollten auf Version 0.9.7.9+deb7u3 updaten. Nutzer von Debian Sid sollten Version 1.0.9 des Apt-Paketes nutzen. Ubuntu hat die Schwachstelle mit den Versionen 0.7.25.3ubuntu9.16 (Ubuntu 10.04 LTS), 0.8.16~exp12ubuntu10.19 (Ubuntu 12.04 LTS) und 1.0.1ubuntu2.3 (Ubuntu 14.04 LTS) behoben.

Unter anderem verwirft Apt Paketdaten nicht, die sich als nicht verifizierbar herausstellen und validiert Binärpakete, die mit apt-get download heruntergeladen wurden nicht korrekt. Ein Fehler im Programm, der dazu führte, dass Antworten mit dem HTTP-Statuscode 304 nicht richtig bearbeitet wurden, wird mit den neuen Versionen ebenfalls behoben. (fab [3])

URL dieses Artikels:
https://www.heise.de/-2399729

Links in diesem Artikel:
[1] https://www.debian.org/security/2014/dsa-3025
[2] http://www.ubuntu.com/usn/usn-2348-1/
[3] mailto:contact@fab.industries

Copyright © 2014 Heise Medien