deesaster.org

Laut einer Studie von Forschern der Universität von Arizona sei es nicht so schwer, die Spiegelserver diverser freier Distributionen zu infiltrieren und alte Pakete an die Benutzer auszuliefern. Um dies zu beweisen, hatte man eine Scheinfirma aufgebaut, die ihre Server zur Spiegelung diverser Distributionspakete bereitstellte. Durch eine unzureichende Prüfung der Distributoren konnten so signierte Pakete ausgeliefert werden, die ohne Weiteres hätten manipuliert (im Sinne von veraltet und mit Sicherheitslücken gespickt) sein können.

Die Forscher warnen daher vor einem blinden Vertrauen von Spiegelservern. Man solle sich auf die offiziellen Distributionsserver oder zumindest auf universitäre Server stützen. Zusätzlich ist von einem automatischen Update der Pakete abzuraten. Man solle immer prüfen, welche Pakete installiert werden und ob dies die korrekten und aktuellen Versionen sind.

Betroffen von dieser Lücke waren alle getesteten Paketverwaltungssystem (APT, YUM, YaST) und verschiedene Distributionen wie Ubuntu, Fedora, openSUSE, CentOS und Debian.

Quelle: heise open