Kritische Sicherheitslücke im Paketverwaltungssystem APT (Update)

Seit heute ist eine schwerwiegende Sicherheitslücke im Paketverwaltungssystem APT von Debian bekannt, die ebenfalls alle anderen Debian-basierten Distributionen wie z.B. Ubuntu, Linux Mint, Kali Linux und Tails betrifft.

Die Meldung hat das Debian-Projekt heute in der Sicherheitsankündigung DSA-4371 veröffentlicht. Entdeckt wurde die Sicherheitslücke von Max Justicz.

Ein Sicherheitsupdate des Debian-Projektes sowie des Ubuntu-Projektes steht bereits zur Verfügung.

Der Angriffsvektor sind kompromittierte Softwarepakete, die über die Paketverwaltungsquellen via HTTP heruntergeladen werden.

Ein potentieller Angreifer könnte mittels einer Man-in-the-Middle Attack (MITM) und eines HTTP Redirects einen feindlichen Server als Paketquelle einschmuggeln.

Durch den Bug werden nach einem erfolgten HTTP Redirect die Pakete nicht wie üblich per GPG und Prüfsumme auf Validität getestet.

Im folgenden stellen wir Ihnen mögliche Sofortmaßnahmen dar – Bei einer möglichen Kompromittierung des Systems empfehlen wir jedoch immer eine vollständige Neuinstallation.

Sofortmaßnahme

Als Sofortmaßnahme sollten Redirects während des Paketupdates zunächst einmal deaktiviert werden:

 apt -o Acquire::http::AllowRedirect=false update
 apt -o Acquire::http::AllowRedirect=false upgrade

Sollte die Sofortmaßnahme aufgrund von Proxies o.Ä. nicht funktionieren, oder die Befürchtung bestehen, dass sich kompromittierte Pakete auf dem System befinden bieten sich folgende Optionen:

Option 1

Das vorhandene, potentiell kompromittierte APT-Paket sowie alle weiteren betroffenen Pakete müssen neu installiert werden.

Die neuen Pakete können per Befehl aus einer vertrauenswürdigen Quelle heruntergeladen werden. Das korrekte APT-Paket für die entsprechende Architektur kann momentan hier herausgesucht werden.

cd /tmp && wget path/to/apt.deb

Um einen erneuten Angriff auszuschließen, ist es von elementarer Wichtigkeit, die SHA-Prüfsumme des Paketes zu überprüfen. Dies erfolgt durch Abgleich der Prüfsumme mittels folgendes Befehls:

sha256sum apt.deb

Die so erzeugte SHA256-Prüfsumme vergleicht man mit der Prüfsumme der Paketquelle.

Mit folgendem Befehl wird die neue vertrauenswürdige APT-Version installiert:

cd /tmp && dpkg -i apt.deb && rm apt.deb

(Zur Erklärung: debsig-verify wäre auch eine Möglichkeit, wurde aber verworfen, weil einige Endanwender kein GPG installiert haben und wir dann vor einem Henne-Ei Problem stehen.)

Option 2

Eine Neuinstallation der eventuell kompromittierten Pakete kann durch APT erfolgen, solange die vorhandenen APT-Pakete nicht kompromittiert und aktuell sind.

Es muss sichergestellt sein, dass in der Paket-Liste der Installation nur folgende Quellen eingetragen sind:

deb http://ftp.debian.org/debian stretch main
deb http://security.debian.org/ stretch/updates main

Über folgenden Befehl werden die aktuellen, gefixten APT-Pakete installiert:

apt-get -o Acquire::http::AllowRedirect=false update
apt-get install -o Acquire::http::AllowRedirect=false apt libapt-pkg5.0 apt-transport-https apt-utils libapt-inst2.0

Anschließend können potentiell betroffene Pakete mit folgender Option regulär via APT installiert werden:

apt-get install Paketname

Option 3

Das System kann von einem vertrauenswürdigen Rescue-Medium gebootet werden und die Checksummen der Pakete überprüft werden. Bei nicht validen Checksummen kann man davon ausgehen, dass das System kompromittiert ist und sollte eine Neuinstallation vornehmen.

Option 4

Das System kann mit noch von Debian zu veröffentlichen CD-Images neu installiert werden.

Falls Sie Unterstützung bei der Behebung von Sicherheitslücken benötigen, steht Ihnen unser Open Source Support Center zur Verfügung – Falls gewünscht auch 24 Stunden am Tag, an 365 Tagen im Jahr.

Wir freuen uns über Ihre Kontaktaufnahme.

Update – 24.01.2019

Mittlerweile hat das Debian-Projekt die erwähnten CD-Images zur Verfügung gestellt. Debian 9.7 enthält unter anderem die gefixten APT-Pakete und kann über die üblichen Wege bezogen werden. Die Release-Note von Debian gibt es hier.

Dieser Artikel wurde ursprünglich geschrieben von Ariane Köster.