Vraag Is de meta-release-upgrade (do-release-upgrade) veilig?


Ik probeer het te begrijpen do-release-upgrade proces, dat wil zeggen de manier waarop Ubuntu me opdraagt ​​om te upgraden naar de volgende Ubuntu-release in het voorjaar of najaar.

Na het lezen van de bronnen voor ubuntu-release-upgrader ik vond de / Etc / bijwerken-manager / meta-versie bestand op mijn systeem. Dit bestand lijkt gebruik te maken van een HTTP-URL http://changelogs.ubuntu.com/meta-release waar de verschillende Ubuntu-releases van Warty 04.10 tot Raring 13.04 worden vermeld. Dit bestand bevat de releases, hun ondersteuningsstatus, de releasedatum en een koppeling naar de Release het dossier.

Nu de Release bestand heeft een overeenkomstige GPG-handtekening en de sha1sum van de Packages bestand dat op zijn beurt de sha1sum heeft van de individuele DEB-binaries die worden geïnstalleerd. De recente releases hebben ook een upgradescript en een bijbehorende GPG-handtekening. Alles klinkt goed.

Mijn vraag gaat over de meta-release bestand zelf. Het wordt niet geserveerd via HTTPS en ik kan er geen GPG-handtekening voor vinden. Als iemand dit bestand vervangt, kan dit ertoe leiden dat mijn apparaat een upgrade uitvoert ...

  • ... naar een ondertekende release die nog niet door beveiligingstests is gegaan?
  • ... naar een oude release die niet wordt ondersteund en niet-gefixeerde beveiligingsproblemen heeft?

24
2017-07-06 16:04


oorsprong


Zeer goede vraag en goed geschreven. Als dit beveiligingsprobleem kan worden bevestigd en de ontwikkelaars op de hoogte worden gesteld, denk ik dat dit (niet openbaar) moet worden gemaakt tot het is opgelost. Mijn eerste gedachte is dat dit inderdaad kwetsbaar klinkt voor een man-in-the-middle-aanval. Een gebruiker moet de upgrade echter nog bevestigen. - gertvdijk
Ik heb in de tussentijd wat meer informatie verzameld en toen ik tijd vond om het met feiten / experimenten te ondersteunen, zal ik het als een antwoord posten. Let op dat het UpgradeToolSignature is er nog steeds, dus het zal alleen worden geüpgraded met behulp van een door Canonical ondertekend hulpmiddel (maar ja, dat neemt niet weg dat u zich zorgen maakt). - gertvdijk
Ik heb geprobeerd een downgrade naar een oude versie te forceren, maar het upgradescript zei dat het niet wist hoe je van raring naar hardy moest upgraden. Apt verlaagt niet zonder een opheffing. Het lijkt erop dat het ergste wat je kunt doen, je slachtoffer ertoe aanzetten om te upgraden naar een nieuwere versie dan ze willen, bijvoorbeeld ontwikkeling of niet-lts. - jwal
Ik dacht aan een andere aanpak. Tip: geen invoer van ontsmetting. Ik zal waarschijnlijk wat tijd in het weekend vinden. :) - gertvdijk
Ik zou me meer zorgen maken over het feit dat een van de Ubuntu-repo's is gecompromitteerd en dat de pakketten zijn vervangen door trojan-versies die zijn ondertekend met dezelfde die is gedefinieerd in het metabestand. - Justin Andrusk


antwoorden:


do-release-upgrade vereist beheerdersrechten, en als je een LTS-versie gebruikt, blijf je daarop en wordt je niet automatisch een versie aangeboden. Als u niet-officiële bronnen gebruikt, worden er een aantal waarschuwingsberichten weergegeven.

GUI-varianten hierop zijn voor de eindgebruiker echter niet anders dan UAC op Windows, waar iedereen die technisch niet voldoende is opgelet gewoon op de knop klikt of het wachtwoord invoert, waarschuwingen negeert en een kopje thee zet. Dus in de praktijk is het niet meer of minder veilig dan Windows Update.

In het kort: ik zou niet vertrouwen dat de upgrade veilig is. Als je een LTS gebruikt en Ubuntu gebruikt voor missiekritieke dingen, zou ik het upgraden van een hoofdversie vermijden totdat je release niet langer wordt ondersteund. Door op te waarderen, wordt je materiaal op subtiele manieren onderbroken, wat je tijd kost om het op te lossen.


2
2018-01-02 09:59



Mijn vraag gaat eigenlijk over een hacker op het netwerk - als een man in het midden - in plaats van over de lokale machine die de upgrade uitvoert. Ik weet al dat je root moet zijn om de upgrade op de lokale computer uit te voeren. - jwal


  • Alleen Admin kan permanente wijzigingen in de bestanden op de pc veroorzaken. Gastgebruikers kunnen deze (of andere) bestanden niet wijzigen. Dus niemand anders dan de beheerder zelf kan ervoor zorgen dat update-manager naar een mogelijk schadelijke link zoekt.

  • nu zal de beheerder zijn eigen pc niet beschadigen (tenzij hij gek is). En laat nooit een derde persoon toegang krijgen tot beheerdersrechten. Er is praktisch geen risico.

  • Misschien kunnen schadelijke apps dit wel, maar als u vertrouwde repo's gebruikt, heeft dit risico niet de overhand.
  • Zoals @gertvdijk zei, moet de gebruiker de upgrades nog bevestigen
  • En tot slot kunt u altijd de originele link herstellen.

Dus in het kort "iemand"kan dit bestand niet wijzigen. Alleen de beheerder kan wijzigingen in bestanden aanbrengen.

dit proces zou zeker veiliger kunnen zijn. Misschien zou software-updater dat wel kunnen codeer deze bestanden en gebruik ook een gpg-sleutel

Tot slot houdt de Ubuntu-wekelijkse nieuwsbrief je op de hoogte van recente updates / upgrades. Je kunt dit bevestigen om ervoor te zorgen dat de beveiliging van je pc optimaal is.


0
2017-12-29 13:13