Bericht: Paket-Management-Systeme unter Linux nur bedingt vertrauenswĂĽrdig
Forscher weisen darauf hin, dass die Paket-Manager Lücken aufweisen, mit denen Mirror-Server Backdoors installieren und dem Client alte Pakete mit Sicherheitslücken unterschieben können. Einen eigenen Mirror-Server zu etablieren, soll recht einfach sein.
- Daniel Bachfeld
Linux-Anwender verweisen oft auf die Vorzüge des automatischen Paket-Managements ihrer Distribution, insbesondere wenn es um das schnelle Schließen von Lücken im Kernel und in Anwendungen geht. Die University of Arizona weist in einem Bericht allerdings darauf hin, dass die Paket-Manager Sicherheitslücken aufweisen, mit denen manipulierte Distributions-Mirror-Server dem Client alte Pakete mit Sicherheitslücken unterschieben können. Und dass es relativ einfach ist, einen eigenen Mirror-Server für eine Distribution zu etablieren, haben die Forscher gleich mit demonstriert.
Anbetracht ihrer wichtigen Rolle in einem System seien nach Meinung der Autoren Justin Cappos, Justin Samuel, Scott Baker, John H. Hartman sehr hohe Sicherheitsanforderungen an einen Paket-Manager zu erwarten. Mit den von ihnen gefundenen Sicherheitslücken in den Managern APT, YUM, YaST für Linux und BSD soll es Angreifern möglich sein, auf beliebige Teile des Systems zuzugreifen und Dateien zu ändern, zu löschen, anzulegen und Backdoors zu installieren.
Zwar greift der Paket-Manager nicht auf beliebige Server zu, die solche Lücken ausnutzen könnten, offenbar sind die Prüfungen der Distributoren bei der Aufnahme externen Mirror-Server nicht allzu sorgfältig. Den Forschern gelang es relativ einfach, einen von ihnen kontrollierten Server in die Server-Liste von Ubuntu, Fedora, OpenSuSE, CentOS und Debian zu bekommen. Dabei beobachteten sie Tausende von Client-Zugriffen, darunter auch Systeme des US-Militärs und der Regierung. Einige Distributionen prüfen aber nach Angaben der Forscher, ob die Inhalte auf den Mirror-Server mit den Originalen übereinstimmen. Denkbar wäre aber ein Server, der verschiedene Inhalte ausliefert und bestimmte Pakete nur gezielt an Clients.
Da die Pakete üblicherweise digital signiert sind, können Angreifer die Pakete nicht direkt manipulieren, ohne eine Fehlermeldung beim Installieren zu provozieren. Nach Angaben der Autoren soll es aber sehr wohl möglich sein, gültig signierte, alte Pakete mit bekannten Sicherheitslücken an den Client auszuliefern. Darüber hinaus kann ein manipulierter Mirror-Server auch verhindern, dass Sicherheits-Updates installiert werden, indem er dem Client immer eine alte Paket-Liste übermittelt. Somit sammeln sich im Laufe der Zeit Sicherheitslücken auf dem System an, die der Angreifer später gezielt ausnutzen kann.
Die Forscher haben aber auch noch ein paar Ratschläge zum Schutz vor solchen Angriffen parat. So sollen Anwender nur solche Mirrors benutzen, deren Betreiber sie vertrauen können. Wie das aber festgestellt werden kann, lässt der Bericht offen. Auf der Liste der Ubuntu-Mirrors befinden sich eher unbekannte Firmen. Immerhin gibt es in Deutschland mehrere von bekannten Universitäten betriebene Mirrors. Ob die aber immer den Sicherheitsanforderungen genügen, muss noch hinterfragt werden.
Zudem sollen Anwender ihr System manuell aktualisieren – und zwar immer dann, wenn bekannt wurde, dass neue Versionen für ein Paket verfügbar sind. Der von den Forschern auf Grundlage einer Sicherheitsarchitektur entwickelte Package-Manager Stork soll viele der beschriebenen Probleme lösen. Ob und wann er in Linux-Distributionen einfließen wird, ist offen. Auf lwn.net gibt es bereits eine Diskussion über die Ergebnisse der Forscher und mögliche weitere Lösungen.
Siehe dazu auch:
- Attacks on Package Managers, Bericht der Universität Arizona
(dab)