Debian: "We don't need to use HTTPS, we sign our packages! Check out whydoesaptnotusehttps[.]com!"
https://lists.debian.org/debian-security-announce/2019/msg00010.html …
https://justi.cz/security/2019/01/22/apt-rce.html …
Oops.
*This* is why you use HTTPS. Defense in depth. Take note @videolan.
-
¿Y la llave con la que van firmados no se usa? Porque aunque cambies los hashes y lo que quieras, la verificación de firma tendría que salir rechazada. Ahora que si alguien les está falsificando la firma, el problema no está en el protocolo HTTP sino en la llave con la que firman
La llave firma los manifests y los manifests contienen los hashes de los archivos. La inyección de protocolo permite sustituir los hashes por unos propios falsos, que coinciden con los del manifest pero no son los hashes reales del archivo.
-
-
El diseño de la cadena de hashes es perfectamente razonable. El problema es un simple bug en la integración con el protocolo HTTP. Si lo prefieres imagina que fuera un buffer overflow que permite ejecución de código directamente sin tener nada que ver con los hashes.
-
El problema es que gracias al uso de HTTP en lugar de HTTPS, cualquiera con acceso a tu conexión puede atacarte. Si usaran HTTPS, entonces solo los mirrors en sí podrían explotar el fallo. Al no usar HTTPS, el impacto es muchísimo mas grave.
- Show replies
New conversation -
-
-
Si cambias los hashes, la verificación de la firma del manifest debería fallar. Algo están haciendo mal que no tiene que ver con el protocolo HTTP. La verificación de autenticidad e integridad se tiene que hacer independientemente del transporte.
#ConsumaCarneDeCerdo -
Léete el artículo si quieres entender los detalles. Lo que cambias no son los hashes del manifest, lo que haces es *reportar un hash del archivo que no es su hash real*. Es una inyección de protocolo interno que permite decir 'he descargado X y su hash es Y' cuando no es así.
- Show replies
New conversation -
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.