Wieder openssh
Bernhard Sadlowski
sadlowsk at mathematik.Uni-Bielefeld.DE
Thu Aug 1 22:53:02 CEST 2002
On 01 Aug 2002 21:59, Cord Beermann <cord at lug-owl.de> wrote:
> > Am besten ist wohl, wenn der Maintainer das Package
> >direkt vom Entwickler bekommt ohne Umwege über ein Archiv und mit
> >PGP/GPG signiert. Vielleicht geschieht das ja bereits.
>
> hae? wenn das Maekfile sich aendert aendert sich auch die md5sum des
> Packages.
Wenn .deb/.tar + .md5 auf gleichem Server liegen, kann auch das .md5
entsprechend geändert werden. Also sollte schon sichergestellt werden,
daß die checksums (sowohl für ein package als auch für den source) nicht
einfach von einem potentiellen Angreifer mit verändert werden können.
> Die vermutlich gehackte Kiste ist ftp.openbsd.org. Das ist eine
> Solaris 6 oder 7-Buechse auf der auch ein SunSITE-Mirror laeuft.
Ich hatte heute Nachmittag keine Zeit heise.de zu lesen und ging davon
aus daß openbsd.org auch unter OpenBSD läuft. Falsch gedacht. Mist. :)
> heute ist noch ein netter RPC-Bug durchgekommen, vermutet wird aber
> eher das es einen funktionierenden OpenSSL-EXploit gibt und das es
> darueber passiert ist (dazu passen zumindest die Zeiten dieses
> Angriffes.
Mal schauen ob was Definitives bekannt wird.
> >Wenn beide Server
> >gleichzeitig gehackt werden, dann kann man nur beten...
>
> oder der master von den alle Ihre md5s holen :-)
Wenn jeder Maintainer ihr md5 selbst erzeugen und sie dann auf beide
Server mit einem nur für sie bestimmten account per z.B. scp laden,
sollte es keinen master (und "SPF") geben?
> An dieser Stelle hat rpm dem debian-Format was voraus. rpm-Pakete
> enthalten nicht nur eine md5-checksum, sondern auch noch eine
> GnuPG-Signatur. sowas ist bei deb derzeit nicht eingebaut.
Wenn ich mir eine Distribution per FTP hole (egal ob RH, SuSE oder
Debian), kann ich ja nicht sicher sein, daß die mitgekommenen public
keys auch wirklich stimmen. Da ist wiederum der Forscherdrang und die
Vorsicht des einzelnen vielleicht unbedarften Nutzers gefragt. Eine
gewisse automatische Absicherung wäre dann schon nicht schlecht. Diese
hat anscheinend bei einem FreeBSD User funktioniert (link aus dem heise
forum):
http://futurezone.orf.at/futurezone.orf?read=detail&id=126378&tmp=74536
(Andererseits, wenn ein mirror falsche Dateien liefert, dann wird auch
ein verändertes apt-get / dpkg dabei sein, die dann alles was kommt
installieren... 100% Sicherheit gibt es wohl nie)
Gruss,
Bernhard
More information about the Linux
mailing list