Debian Weekly News - 14. März 2001
Willkommen zu Debian Weekly News, die Neuigkeiten für die Debian-Gemeinschaft.
Seit Jahren ist es uns bewusst, dass Debians Art, Pakete und Releases zu den Benutzern zu bringen, aus Sicherheitssicht hinten nachhinkt. Es gibt keinen Weg, sich sicher zu ein, dass das Paket, da Sie gerade heruntergeladen haben, wirklich von einem Debian-Entwickler gemacht wurde und tatsächlich ein Teil des aktuellen Releases ist. Das wird schnell geändert, und bald werden Benutzer zwei ergänzende Wege haben, um sicherzustellen, dass sie rechtmäßige Pakete installieren. Diese Woche wurde auf der debian-dpkg Liste ein Patch veröffentlicht, der zu dpkg die Unterstützung hinzufügt, Signaturen von Debian-Paketen zu prüfen. Die Signaturen werden in einer neuen Sektion des Paketes selbst gespeichert, und Werkzeuge werden im Augenblick zu Debian hinzugefügt, die solche Signaturen prüfen. Diese Art von Paket-Signaturen ist ähnlich zu den Techniken, die in der rpm-Welt bereits seit einer langen Zeit existieren, und sie sind eine willkommene Erweiterung für dpkg, aber ihre Nützlichkeit sollte nicht überbewertet werden.
Signierte Pakete allein halten immer noch mehrere Alleen für Attacken offen. Verschiedene böse Dinge können mit der Packages Datei gemacht werden, oder indem man apt austrickst und dazu bringt, alte und unsichere Pakete herunterzuladen. Diese Attacken auszuschließen benötigt eine weitere Ebene der Sicherheit – signierte Releases. Es erscheinen bereits signierte Release.gpg im Archiv, und apt wird bald fähig sein, diese Signaturen zu überprüfen, wenn es ein Debian-System aktualisiert. In der schlussendlichen Analyse garantiert keines dieser Schemen absolute Sicherheit, aber sie werden Angriffe viel härter für die schwarzen Schafe machen, und möglicherweise werden zu der Zeit, wenn Woody freigegeben wird, beide Typen von Signaturen weit verbreitet sein.
Vorbereitungen für eine Aktualisierung in stable ist in Arbeit, Debian-Version 2.2r3. Wie in den meisten Minderüberarbeitungen werden Pakete mit Sicherheitsproblemen, Copyright-Sachen oder sehr schlimmen Fehlern in diesem Release aktualisiert. Sie könnte auch Aktualisierungen beinhalten, um sie mit dem 2.4er Kernel kompatibel zu machen, da alle notwendigen Pakete bereits zurückportiert wurden. Martin Schulze koordiniert das neue Release, und seine Liste der Pakete, die inkludiert werden, ist im Web verfügbar.
Die DPL-Wahl ist im Gange, nach einigen wenigen Fehlstarten. Entwickler können sich einen Wahlzettel besorgen und ihn gpg-signiert mailen. Die Wahlen enden am 28.
Eine weitere Fehler-Ausmerz-Party ist für dieses Wochenende geplant. Beinahe 350 veröffentlichungskritische Fehler blieben nach der letzten Party übrig, und sie müssen alle behoben werden, bevor Woody veröffentlicht wird, daher wird jeder mit freier Zeit an diesem Wochenende gebeten, eine helfende Hand zu reichen und den einen oder anderen Fehler zu beheben.
Während einigen Wochen fließen endlose Sicherheitsbehebungen in Debian ein. Dies war eine dieser Wochen. Einige dieser Ankündigungen waren für Probleme, die eigentlich bereits früher behoben wurden, aber nicht angekündigt, aber viele sind brandneue Sicherheitsbehebungen.
- Mehrere kleinere Fehler in stables proftpd-Paket, die zu geringeren Sicherheitsproblemen führen könnten.
- Ein entfernt ausnutzbarer Pufferüberlauf in analog könnte über das CGI-Interface ausgebeutet werden.
- Mehrere Pufferüberläufe in ePerl wurden entdeckt, die zu einem entfernten root-Ausbeutung bei einigen Einstellungen führen kann.
- Ein entfernter denial-of-service Angriff wurde in man2html gefunden – es konnte dazu gebracht werden, den kompletten Speicher aufzubrauchen.
- Ein lokaler Exploit in Midnight Commander.
- Alle xaw-Ersatz-Bibliotheken (nextaw, xaw3d und xaw95) wurden aktualisiert, um einige Sicherheitslöcher zu schließen, die bereits früher in xaw selbst gefunden und behoben wurden.
- Ein Temporär-Datei Sicherheitsloch wurde in sgml-tools behoben.
- Zwei Sicherheitslöcher in stables glibc wurden behoben, beide root-Exploits. (Beachten Sie, dass durch die Behebung ldd für suid-Binärprogramme nicht mehr funktioniert, daher wird wahrscheinlich eine Aktualisierung veröffentlicht, die dies behebt.)
- Ein entfernt ausbeutbarer Pufferüberlauf in stables slrn.
- Joe liest unsicher .joerc aus dem aktuellen Verzeichnis, dies war lokal ausnutzbar, wenn joe in Verzeichnissen wie /tmp/ ausgeführt wird.
- Ein entfernt ausnutzbarer Pufferüberlauf in gnuserv und xemacs.
- Mehrere entfernte Ausbeutungen in Zope.
- Ein Pufferüberlauf in mailx, der lokalen Zugriff auf die mail-Gruppe ermöglicht.
Das Sicherheitsteam verdient vielen Dank für all ihre harte Arbeit in dieser Woche.
Wenn Sie diesen Newsletter wöchentlich in Ihrer Mailbox haben wollen, abonnieren Sie die Mailingliste debian-news-german.
Hier gibt es ältere Ausgaben dieser Nachrichtenseite.
Diese Ausgabe der wöchentlichen Debian-Nachrichten wurde von Joey Hess erstellt.