Re: kurze Frage zum security update von APT

To: debian-user-german@lists.debian.org
Subject: Re: kurze Frage zum security update von APT
From: Christian Knoke <chrisk@cknoke.de>
Date: Sat, 17 Dec 2016 15:38:25 +0100
Message-id: <[🔎] 20161217143825.GA1620@leo.home.cknoke.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20161217113626.GG28727@well-adjusted.de>
References: <[🔎] a9b4866c-f474-8057-000c-ce29385ad57f@t-online.de> <[🔎] 20161216193617.GE28727@well-adjusted.de> <[🔎] 37670042-4bbf-22ff-3551-44dce86cfd90@t-online.de> <[🔎] 1d8ee184-b6bc-265c-68d7-78a3cb444ed5@kairaven.de> <[🔎] 20161217113626.GG28727@well-adjusted.de>

Hallo alle,

Jochen Spieker schrieb am 17. Dec um 12:36 Uhr:
> K. Raven:
> > Hi,
> > 
> >> Wieso kommuniziert(e) APT eigentlich nicht über https oder tut/tat
> >> es das schon? Und wäre dann das geschilderte Angrifsszenario
> >> eigentlich noch relevant?
> > 
> > Mit apt-transport-https und wenn das Repo TLS kann, schon.
> > deb https://ftp.de.debian.org geht deshalb leider nicht. Mit Tor und
> > apt-transport-tor kann man die Onion Services nutzen, dann hat man die
> > Tor "TLS" Transportverschlüsselung
> > <https://bits.debian.org/2016/08/debian-and-tor-services-available-as-onion-services.html>
> 
> Was allerdings alles nicht hilft, um sicherzustellen, dass die Pakete
> nicht vom Betreiber des Mirrors manipuliert wurden.

Jetzt mal Klartext bitte, für die weniger begabten, wie mich. https hilft
zur Vermeidung des Bugs *nicht,* weil ein MITM nur irgendein Zertifikat
vorlegen muss, weil apt, wie bei https üblich, das Zertifikat nicht
daraufhin überprüft, ob es zu Debian gehört.  Der MITM kann dann nicht nur
gezinkte Pakete liefern, sondern wegen dieses Bugs (remote root code
execution) auch noch beliebige Befehle als root ausführen lassen.  Korrekt?

Gruß
Christian

-- 
Christian Knoke            * * *            http://cknoke.de
* * * * * * * * *  Ceterum censeo Microsoft esse dividendum.

Reply to:

Follow-Ups:
- Re: kurze Frage zum security update von APT
  - From: Robert Stephan <robert.stephan@entenhof-im-ried.de>
- Re: kurze Frage zum security update von APT
  - From: Jochen Spieker <ml@well-adjusted.de>

References:
- kurze Frage zum security update von APT
  - From: Lindermann <jenslindermann@t-online.de>
- Re: kurze Frage zum security update von APT
  - From: Jochen Spieker <ml@well-adjusted.de>
- Re: kurze Frage zum security update von APT
  - From: Lindermann <jenslindermann@t-online.de>
- Re: kurze Frage zum security update von APT
  - From: "K. Raven" <ml@kairaven.de>
- Re: kurze Frage zum security update von APT
  - From: Jochen Spieker <ml@well-adjusted.de>

Prev by Date: Re: kurze Frage zum security update von APT
Next by Date: Re: kurze Frage zum security update von APT
Previous by thread: Re: kurze Frage zum security update von APT
Next by thread: Re: kurze Frage zum security update von APT
Index(es):
- Date
- Thread