ZP LUG - Группа пользователей GNU/Linux г. Запорожья

Механизмы Unix- и Linux-систем подверглись критике - Форум LUG славного города Запорожье

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Архив - только для чтения
Форум LUG славного города Запорожье » Информационный раздел » Новости из мира *NIX » Механизмы Unix- и Linux-систем подверглись критике (Или глобальная паранойя безопасности...)
Механизмы Unix- и Linux-систем подверглись критике
RavenДата: Понедельник, 21.07.2008, 11:34 | Сообщение # 1
Администратор
Группа: Администраторы
Сообщений: 420
Репутация: 14
Статус: Offline
Специалисты американского университета (штат Аризона) сообщили об обнаружении уязвимости в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.

Такой метод не требует получения паролей в систему или особых манипуляций по обходу механизмов безопасности. Вместо этого, он использует саму систему распространения бесплатного и открытого программного обеспечения.

Вместе с тем, исследователи проанализировали 10 самых популярных систем обновления программного обеспечения, в том числе APT, APT-RPM, Pacman, Portage, Ports, Slaktool, Stork, Urpmi, Yast и YUM и все они оказались способны поставить под угрозу безопасность ОС и компьютеров.

Изначально все эти пакеты разрабатывались для автоматического обновления в системе программного обеспечения, избавляя администраторов от рутинных забот по установке и удалению обновлений. "Учитывая их важную роль в системах, эти разработки должны быть чрезвычайно безопасны, однако все они уязвимы", говорится в отчете.

Специалисты отметили, что полученный метод атаки позволяет получить полный контроль над системой благодаря уязвимости, присутствующей во многих легитимных пакетах. Дело в том, что практически во всех пакетах цифровая подпись не имеет какого-либо ограничения по времени, а ряд ОС такую возможность даже не поддерживают.

"Это означает, что после того, как в каком-либо пакете была обнаружена уязвимость, клиенты все равно смогут установить уязвимое ПО из-за правильности самой подписи. Атакующий может абсолютно верно подписать пакеты или встроить метаднные из предыдущего релиза и без проблем установить злонамеренное ПО", - говорят разработчики метода.

К примеру, старые версии OpenSSL, а именно те, что поставлялись с Debian Linux, имеют уязвимости, однако с точки зрения ОС такие пакеты абсолютно верны, поскольку верны их цифровые подписи.

"Создать подставной сервер обновлений совсем нетрудно. Мы арендовали у провайдера машину и бесплатно разместили на ней зеркала обновлений для дистрибутивов Ubuntu, Fedora, OpenSuse, CentOS и Debian. Судя по серверным журналам, подставным зеркалом воспользовались несколько тысяч пользователей, в том числе и из сетей, принадлежащих военным и правительственным органам", - говорят разработчики метода.

В скором времени администраторам представится возможность защищать свои системы посредством использования лишь доверенных репозиториев, ручной инсталляции обновлений или используя метаданные от производителей ОС. В дальнейшем разработчики советуют внедрить в технологии цифровой подписи ПО функцию истечения срока действия подписи.

Источник: http://itua.info/


 
icq status
Форум LUG славного города Запорожье » Информационный раздел » Новости из мира *NIX » Механизмы Unix- и Linux-систем подверглись критике (Или глобальная паранойя безопасности...)
Страница 1 из 11
Поиск: