Debian: "We don't need to use HTTPS, we sign our packages! Check out whydoesaptnotusehttps[.]com!"
https://lists.debian.org/debian-security-announce/2019/msg00010.html …
https://justi.cz/security/2019/01/22/apt-rce.html …
Oops.
*This* is why you use HTTPS. Defense in depth. Take note @videolan.
-
La llave firma los manifests y los manifests contienen los hashes de los archivos. La inyección de protocolo permite sustituir los hashes por unos propios falsos, que coinciden con los del manifest pero no son los hashes reales del archivo.
El diseño de la cadena de hashes es perfectamente razonable. El problema es un simple bug en la integración con el protocolo HTTP. Si lo prefieres imagina que fuera un buffer overflow que permite ejecución de código directamente sin tener nada que ver con los hashes.
-
-
El problema es que gracias al uso de HTTP en lugar de HTTPS, cualquiera con acceso a tu conexión puede atacarte. Si usaran HTTPS, entonces solo los mirrors en sí podrían explotar el fallo. Al no usar HTTPS, el impacto es muchísimo mas grave.
-
El problema no es el transporte, es la verificación de la firma del paquete. El abuso de uno de los posibles medios de transporte solo pone de manifiesto el problema pero no por cambiar el medio de transporte el problema deja de existir.
- Show replies
New conversation -
-
-
Pues por lo visto no es razonable porque permite que te cambien los hashes y no te des cuenta. Por cierto, el protocolo HTTPS también es suceptible a MITM solo que no es tan trivial. En el ambiente corporativo es muy frecuente el uso de una CA propia que inyectan por todos lados.
-
Voy a dejar de contestar porque no es mi labor explicarte lo que claramente está explicado en el artículo. Si no quieres entenderlo, es cosa tuya. Es un bug en la implementación (no diseño) de apt y el uso de HTTP extiende está superficie de ataque a cualquiera con un MITM. Fin.
- Show replies
New conversation -
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.