https-Fix fuer apt

Das Sicherheitsproblem CVE-2019-3462 in apt (“Content injection in APT http method when using redirects”) ist gefixt worden – in debian (debian security tracker) und Ubuntu (Ubuntu CVE Tracker) und somit auch deren Derivaten (sofern diese nicht irgendwas zurückhalten, ich sage nur Mint). So weit, so gut.

apt ist nun nicht irgendwas, sondern das Package Management Tool debian-basierter Distributionen. Das checkt Repositories und deren Inhalte und installiert daraus Pakete, also auch bei jedem Update. Welche Server und Repositories, steht in “/etc/sources.list” und/oder “/etc/sources.list.d/*.list”. Also sollte man überprüfen, ob da nicht über http statt https angefahren wird.

Jetzt kann man aber nicht blauäugig überall ein “s” für secure dazumalen, denn der Stand der Mirrors dazu ist aus einem Land vor unserer Zeit.

So gibt es https für archive.ubuntu.com, immerhin der Mainserver (!), bis heute nicht, nicht mal – und das ist der Hit – für security.ubuntu.com (für packages.ubuntu.com schon, das ist aber nur eine Search Engine, die dann eben auf die Mirrors linkt). Bei den offiziellen (Load balancing) Mirrors sieht es kaum besser aus. Das ist noch nett ausgedrückt. Der südafrikanische Mirror (einziger für Afrika), hat kein https, sämtliche 13 asiatischen sind nicht sicher, von den 12 amerikanischen ist es wenigstens die Hälfte. Und das tolle Europa? Von den 13 Mirrors weiß 1 (in Worten einer) etwas von https, der französische. Also nichts mit ach so sicherheitsbewußtem Deutschland (beim Server der TU Dresden ist man schon froh, wenn der überhaupt funktioniert, weshalb seit Ewigkeiten in uude davon abgeraten wird).

In siduction sollte man auch mal “/etc/apt/sources.list.d/*.list” überprüfen. Die Listen des letzten offiziellen Releases vom Mai sind dahingehend nicht aktuell. So kennt ftp.uni-stuttgart.de nach wie vor nur http (und ftp…), ftp.spline.de (FU Berlin) jedoch auch https. Man sollte also bspw. dahin wechseln.

Nachtrag: Wie wichtig der apt-Fix ist, zeigt das Release von debian 9.7, das in dem vergleichsweise dazu riesigen Image als einzige Änderung das Fitzelchen gefixten Code enthält (Paket base-files).

Der letzte Absatz im pro-linux-Artikel mit dem “problemlos weiternutzen” ist allerdings nicht weit gedacht. Welches Tool hat denn das Update von apt installiert? Dann hätte man schon AllowRedirect=false setzen müssen, wie von devil aufgeführt. Oder manuell von einem offiziellen Server über https ziehen, sha256-checken und mit dpkg installieren.