Ist das Meta-Release-Upgrade (Do-Release-Upgrade) sicher?

24

Ich versuche, den do-release-upgradeProzess zu verstehen , dh die Art und Weise, wie Ubuntu mich auffordert, auf die nächste Ubuntu-Veröffentlichung im Frühjahr oder Herbst zu aktualisieren.

Nachdem ich die Quellen für gelesen hatte, ubuntu-release-upgraderfand ich die Datei / etc / update-manager / meta-release auf meinem System. Diese Datei wird angezeigt. Verwenden Sie eine HTTP-URL, um auf http://changelogs.ubuntu.com/meta-release zu verweisen, in der die verschiedenen Ubuntu-Versionen von Warty 04.10 bis Raring 13.04 aufgelistet sind. Diese Datei listet die Releases, ihren Support-Status, das Erscheinungsdatum und einen Link zu der ReleaseDatei auf.

Jetzt hat die ReleaseDatei eine entsprechende GPG-Signatur und die sha1sum der PackagesDatei, die wiederum die sha1sum der einzelnen DEB-Binärdateien enthält, die installiert werden. Die aktuellen Releases haben auch für diese ein Upgrade-Skript und eine entsprechende GPG-Signatur. Hört sich alles gut an.

Meine Frage meta-releasebezieht sich auf die Datei selbst. Es wird nicht über HTTPS bereitgestellt und ich kann keine GPG-Signatur dafür finden. Wenn jemand diese Datei ersetzt, kann dies dazu führen, dass mein Computer aktualisiert wird ...

  • ... zu einer signierten Version, die noch keine Sicherheitstests durchlaufen hat?
  • ... zu einer alten Version, die nicht unterstützt wird und Sicherheitslücken aufweist?
jwal
quelle
1
Sehr gute Frage und gut geschrieben. Wenn dieses Sicherheitsproblem bestätigt werden kann und die Entwickler benachrichtigt werden, sollte dies meines Erachtens (geheim) bleiben, bis es behoben ist. Mein erster Gedanke ist, dass dies in der Tat für einen Man-in-the-Middle-Angriff anfällig klingt. Ein Benutzer muss das Upgrade jedoch noch bestätigen.
Gertvdijk
Ich habe in der Zwischenzeit weitere Informationen gesammelt und sobald ich Zeit gefunden habe, sie mit Fakten / Experimenten zu unterstützen, werde ich sie als Antwort veröffentlichen. Beachten Sie, dass das UpgradeToolSignaturenoch vorhanden ist, sodass ein Upgrade nur mit einem von Canonical signierten Tool durchgeführt werden kann (dies mindert jedoch nicht die Bedenken, die Sie haben).
Gertvdijk
Ich habe versucht, ein Downgrade auf eine alte Version zu erzwingen, aber das Upgrade-Skript gab an, dass es nicht wusste, wie ein Upgrade von raring auf hardy durchgeführt werden sollte. Apt stuft nicht ohne Override herunter. Es sieht so aus, als ob das Schlimmste, was Sie tun können, darin besteht, Ihr Opfer zum Upgrade auf eine neuere Version aufzufordern, als sie zB Entwicklung oder Nicht-LTS wollen.
Jwal
Ich habe über einen anderen Ansatz nachgedacht. Hinweis: Keine Desinfektion der Eingabe. Ich werde wahrscheinlich über das Wochenende etwas Zeit finden. :)
gertvdijk
1
Ich würde mich mehr darum sorgen, dass eines der Ubuntu-Repos kompromittiert wird und die Pakete durch trojanisierte ersetzt werden, die mit dem gleichen Paket signiert sind, das in der Metadatei definiert ist.
Justin Andrusk

Antworten:

2

Für das Do-Release-Upgrade sind Administratorrechte erforderlich. Wenn Sie sich in einem LTS-Release befinden, bleiben Sie dabei und werden nicht automatisch über eine Version informiert. Wenn Sie nicht offizielle Quellen verwenden, werden eine Reihe von Warnmeldungen angezeigt.

Allerdings unterscheiden sich GUI-Varianten für den Endbenutzer nicht von der Benutzerkontensteuerung unter Windows, bei der jeder, der nicht über ausreichende technische Kenntnisse verfügt, einfach auf die Schaltfläche klickt oder das Kennwort eingibt, Warnungen ignoriert und eine Tasse Tee trinkt. In der Praxis ist es also nicht mehr oder weniger sicher als Windows Update.

Kurz gesagt - ich würde dem Upgrade nicht vertrauen, dass es sicher ist. Wenn Sie auf einem LTS arbeiten und Ubuntu für unternehmenskritische Aufgaben verwenden, würde ich ein Upgrade einer Hauptversion vermeiden, bis Ihre Version nicht mehr unterstützt wird. Das Upgrade führt auf subtile Weise zu Problemen, deren Behebung einige Zeit in Anspruch nimmt.

Ritchie333
quelle
Meine Frage bezieht sich eigentlich auf einen Hacker im Netzwerk - wie einen Mann in der Mitte - und nicht auf den lokalen Computer, auf dem das Upgrade ausgeführt wird. Ich weiß bereits, dass Sie als Root angemeldet sein müssen, um das Upgrade auf dem lokalen Computer auszuführen.
Jwal
0
  • Nur der Administrator kann dauerhafte Änderungen an den Dateien im PC verursachen. Gastbenutzer können diese (oder andere) Dateien nicht ändern. Kein anderer als der Administrator kann den Update-Manager veranlassen, nach potenziell schädlichen Links zu suchen.

  • Jetzt wird der Administrator seinen eigenen PC nicht beschädigen (es sei denn, er hat keine Ahnung davon). Und niemand sollte Dritten den Zugriff auf Administratorrechte gestatten. Es besteht praktisch kein Risiko.

  • Möglicherweise könnten bösartige Apps verwendet werden, aber wenn Sie vertrauenswürdige Repos verwenden, besteht dieses Risiko nicht.
  • Wie @gertvdijk sagte, muss der Benutzer die Upgrades noch bestätigen
  • Und schließlich können Sie den ursprünglichen Link jederzeit wiederherstellen.

Kurz gesagt, " jemand " kann diese Datei nicht ändern. Nur der Administrator kann Änderungen an Dateien vornehmen.

Dieser Prozess könnte sicherlich sicherer sein. Möglicherweise könnte der Software-Updater diese Dateien verschlüsseln und auch einen GPG-Schlüssel verwenden

Der wöchentliche Ubuntu-Newsletter hält Sie mit den neuesten Updates / Upgrades auf dem Laufenden. Sie können dies bestätigen, um die Sicherheit Ihres PCs bestmöglich zu gewährleisten.

registrierter Nutzer
quelle