Aber linux ist doch sicher…

Na, benutzt hier jemand eine debianoide linuxdistribuzjon wie etwa unbuntu?

Kritische Sicherheitslücke in Debians Update-Tools

😳

Debian-basierte Linux-Systeme weisen eine Sicherheitslücke auf, über die Angreifer das System während des Einspielens von Sicherheits-Updates kapern könnten […] Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird

Also schnell die aktualisierung einspielen! Und hoffen, dass man dabei nicht gepwnt wird! Mit windohs wäre das nicht passiert, dass die korrigierte versjon schon verfügbar ist, während noch die heise-artikel mit der warnung getippt werden.

Übrigens liegt das problem nicht an der unverschlüsselten übertragung digital signierter dateien, deren signatur hinterher überprüft wird, wie der fach- und lachverlag heise in seinem alarmartikel überdeutlich den eindruck erweckt, sondern daran…

When the HTTP server responds with a redirect, the worker process returns a 103 Redirect instead of a 201 URI Done, and the parent process uses this response to figure out what resource it should request next […] Unfortunately, the HTTP fetcher process URL-decodes the HTTP Location header and blindly appends it to the 103 Redirect response

…dass einem rückgabewert aus dem internetz ungeprüft vertraut wird. HTTP ermöglicht allerdings einem dritten auf der leitung (zum beispiel der NSA oder unseren werten verfassungsfeinden aus den innenministerjen) darin ohne nennenswerten aufwand nach herzenslust herumzumanipulieren, ohne dass diese manipulazjon auf dem transportweg erkennbar ist.

Wenn ich die kwellen für so eine meldung lesen muss, um zu verstehen, um was zum hackenden henker es überhaupt in wirklichkeit geht, dann kann sich der werte herr jornalist sein alarmierendes und verdummendes geschreibsel der marke „mit HTTPS wäre das nicht passiert“ auch gern mal dahin stecken, wo keines sönnchens strahl die kotigen massen zu durchdringen vermag. Generell sind eingaben aller art zu überprüfen. In jeder verdammten softwäjhr. Auch bei HTTPS. Vor allem, wenn es um so etwas heikles wie die auslieferung von sicherheitsaktualisierungen geht.

Man könnte sogar andersherum argumentieren (natürlich nicht völlig ernstgemeint): HTTPS hätte die erkennung dieses fürchterlichen fehlers (oder dieser von einem geheimdienstlich bezahlten halunken in apt verbauten hintertür) erschwert oder verhindert. Im debian-projekt hat ja wohl auch in den letzten jahren niemand beim intensiven lesen der quältexte von selbst diese schwachstelle bemerkt, und das wäre in den kommenden jahren eher nicht besser geworden… :mrgreen:

Meine fresse, heise!

Ja, TLS ist trotz aller seiner probleme wichtig. Aber es löst nicht alle probleme. Ein dummer fehler ist ein dummer fehler ist ein dummer fehler. Der passiert. Der muss korrigiert werden. Der wird korrigiert. Das kann man nicht durch TLS ersetzen. Das kann man durch gar nix ersetzen.

Weia!

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.