Debian und Ubuntu schließen Lücken im Paketmanager
Im Paketmanager Apt der Linux-Distributionen klafften mehrere Lücken, die unter Umständen das Installieren von Paketen mit falscher Signatur erlaubt hätten. Diese sind nun mit einem Update geschlossen worden.
- Fabian A. Scherschel
Das Sicherheitsteam der Linux-Distribution Debian hat ein Update für den Paketmanager Apt veröffentlicht. Die neue Version schließt eine ganze Reihe von Lücken bei der Überprüfung von Paketsignaturen, die eventuell ausgenutzt werden könnten, um einem Nutzer falsch signierte Pakete unterzuschieben. Die Entwickler empfehlen Apt-Nutzern den Paketmanager so schnell wie möglich zu aktualisieren. Auch Ubuntu verteilt bereits entsprechende Updates.
Nutzer der stabilen Debian-Variante (Wheezy) sollten auf Version 0.9.7.9+deb7u3 updaten. Nutzer von Debian Sid sollten Version 1.0.9 des Apt-Paketes nutzen. Ubuntu hat die Schwachstelle mit den Versionen 0.7.25.3ubuntu9.16 (Ubuntu 10.04 LTS), 0.8.16~exp12ubuntu10.19 (Ubuntu 12.04 LTS) und 1.0.1ubuntu2.3 (Ubuntu 14.04 LTS) behoben.
Unter anderem verwirft Apt Paketdaten nicht, die sich als nicht verifizierbar herausstellen und validiert Binärpakete, die mit apt-get download heruntergeladen wurden nicht korrekt. Ein Fehler im Programm, der dazu führte, dass Antworten mit dem HTTP-Statuscode 304 nicht richtig bearbeitet wurden, wird mit den neuen Versionen ebenfalls behoben.
(fab)
