{"id":4907,"date":"2019-01-24T10:00:50","date_gmt":"2019-01-24T09:00:50","guid":{"rendered":"http:\/\/axebase.net\/blog\/?p=4907"},"modified":"2019-01-24T14:20:00","modified_gmt":"2019-01-24T13:20:00","slug":"https-fix-fuer-apt","status":"publish","type":"post","link":"https:\/\/axebase.net\/blog\/2019\/01\/24\/https-fix-fuer-apt\/","title":{"rendered":"https-Fix fuer apt"},"content":{"rendered":"<p>Das Sicherheitsproblem CVE-2019-3462 in apt (&#8220;Content injection in APT http method when using redirects&#8221;) ist gefixt worden &#8211; in debian (<a href=\"https:\/\/security-tracker.debian.org\/tracker\/CVE-2019-3462\" rel=\"noopener noreferrer\" target=\"_blank\">debian security tracker<\/a>) und Ubuntu (<a href=\"https:\/\/people.canonical.com\/~ubuntu-security\/cve\/2019\/CVE-2019-3462.html\" rel=\"noopener noreferrer\" target=\"_blank\">Ubuntu CVE Tracker<\/a>) und somit auch deren Derivaten (sofern diese nicht irgendwas zur\u00fcckhalten, ich sage nur Mint). So weit, so gut.<\/p>\n<p><a href=\"https:\/\/de.wikipedia.org\/wiki\/Advanced_Packaging_Tool\" rel=\"noopener noreferrer\" target=\"_blank\">apt<\/a> ist nun nicht irgendwas, sondern das Package Management Tool debian-basierter Distributionen. Das checkt Repositories und deren Inhalte und installiert daraus Pakete, also auch bei jedem Update. Welche Server und Repositories, steht in &#8220;\/etc\/sources.list&#8221; und\/oder &#8220;\/etc\/sources.list.d\/*.list&#8221;. Also sollte man \u00fcberpr\u00fcfen, ob da nicht \u00fcber http statt <a href=\"https:\/\/de.wikipedia.org\/wiki\/Hypertext_Transfer_Protocol_Secure\" rel=\"noopener noreferrer\" target=\"_blank\">https<\/a> angefahren wird.<\/p>\n<p>Jetzt kann man aber nicht blau\u00e4ugig \u00fcberall ein &#8220;s&#8221; f\u00fcr secure dazumalen, denn der Stand der Mirrors dazu ist aus einem Land vor unserer Zeit.<\/p>\n<p>So gibt es https f\u00fcr archive.ubuntu.com, immerhin der Mainserver (!), bis heute nicht, nicht mal &#8211; und das ist der Hit &#8211; f\u00fcr security.ubuntu.com (f\u00fcr packages.ubuntu.com schon, das ist aber nur eine Search Engine, die dann eben auf die Mirrors linkt). Bei den offiziellen (Load balancing) Mirrors sieht es kaum besser aus. Das ist noch nett ausgedr\u00fcckt. Der s\u00fcdafrikanische Mirror (einziger f\u00fcr Afrika), hat kein https, s\u00e4mtliche 13 asiatischen sind nicht sicher, von den 12 amerikanischen ist es wenigstens die H\u00e4lfte. Und das tolle Europa? Von den 13 Mirrors wei\u00df 1 (in Worten einer) etwas von https, der franz\u00f6sische. Also nichts mit ach so sicherheitsbewu\u00dftem Deutschland (beim Server der TU Dresden ist man schon froh, wenn der \u00fcberhaupt funktioniert, weshalb seit Ewigkeiten in uude davon abgeraten wird).<\/p>\n<p>In siduction sollte man auch mal &#8220;\/etc\/apt\/sources.list.d\/*.list&#8221; \u00fcberpr\u00fcfen. Die Listen des letzten offiziellen Releases vom Mai sind dahingehend nicht aktuell. So kennt ftp.uni-stuttgart.de nach wie vor nur http (und ftp&#8230;), ftp.spline.de (FU Berlin) jedoch auch https. Man sollte also bspw. dahin wechseln.<\/p>\n<p><em>Nachtrag:<\/em> Wie wichtig der apt-Fix ist, zeigt das <a href=\"https:\/\/www.debian.org\/News\/2019\/20190123\" rel=\"noopener noreferrer\" target=\"_blank\">Release von debian 9.7<\/a>, das in dem vergleichsweise dazu riesigen Image als einzige \u00c4nderung das Fitzelchen gefixten Code enth\u00e4lt (Paket base-files).<\/p>\n<p>Der letzte Absatz im <a href=\"https:\/\/www.pro-linux.de\/news\/1\/26701\/debian-gnulinux-97-korrigiert-fehler-in-apt.html\" rel=\"noopener noreferrer\" target=\"_blank\">pro-linux-Artikel<\/a> mit dem &#8220;problemlos weiternutzen&#8221; ist allerdings nicht weit gedacht. Welches Tool hat denn das Update von apt installiert? Dann h\u00e4tte man schon AllowRedirect=false setzen m\u00fcssen, <a href=\"https:\/\/linuxnews.de\/2019\/01\/fehler-im-debian-paketmanager-behoben\/\" rel=\"noopener noreferrer\" target=\"_blank\">wie von devil aufgef\u00fchrt<\/a>. Oder manuell von einem offiziellen Server \u00fcber https ziehen, sha256-checken und mit dpkg installieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Sicherheitsproblem CVE-2019-3462 in apt (&#8220;Content injection in APT http method when using redirects&#8221;) ist gefixt worden &#8211; in debian (debian security tracker) und Ubuntu (Ubuntu CVE Tracker) und somit auch deren Derivaten (sofern diese nicht irgendwas zur\u00fcckhalten, ich sage nur Mint). So weit, so gut. apt ist nun nicht irgendwas, sondern das Package Management [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","footnotes":""},"categories":[2,5,25,14],"tags":[],"class_list":["post-4907","post","type-post","status-publish","format-standard","hentry","category-computer","category-linux","category-sid","category-ubuntu_and_derivates"],"_links":{"self":[{"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/posts\/4907","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/comments?post=4907"}],"version-history":[{"count":3,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/posts\/4907\/revisions"}],"predecessor-version":[{"id":4920,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/posts\/4907\/revisions\/4920"}],"wp:attachment":[{"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/media?parent=4907"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/categories?post=4907"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/tags?post=4907"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}