Debian: "We don't need to use HTTPS, we sign our packages! Check out whydoesaptnotusehttps[.]com!"
https://lists.debian.org/debian-security-announce/2019/msg00010.html …
https://justi.cz/security/2019/01/22/apt-rce.html …
Oops.
*This* is why you use HTTPS. Defense in depth. Take note @videolan.
-
¿Pues qué no revisan la integridad de un archivo corrupto para rechazarlo? Esto no tiene que ver con el uso de HTTP o HTTPS; los archivos que bajaste de la red siempre tienen que ser verificados antes que los uses. No sé si se trata de una nota alarmista o está todo mal explicado
No leíste el artículo. Revisan la integridad, pero tienen un bug en su uso de HTTP que permite inyección de datos en un protocolo interno, y a su vez reemplazar los hashes. Al no usar HTTPS, este fallo permite a *cualquiera* con acceso a tu conexión tomar el control.
-
-
¿Y la llave con la que van firmados no se usa? Porque aunque cambies los hashes y lo que quieras, la verificación de firma tendría que salir rechazada. Ahora que si alguien les está falsificando la firma, el problema no está en el protocolo HTTP sino en la llave con la que firman
-
La llave firma los manifests y los manifests contienen los hashes de los archivos. La inyección de protocolo permite sustituir los hashes por unos propios falsos, que coinciden con los del manifest pero no son los hashes reales del archivo.
- Show replies
New conversation -
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.