Разкрит е основният проблем с RPM на Linux

През 1995 г., когато Linux 1.x беше горещото ново ядро ​​на Linux, рано червена шапка създатели програмисти Марк Юинг и Ерик Троан RPM. Тази система за управление на софтуерен пакет се превърна в начин по подразбиране за разпространение на софтуер за дистрибуции, базирани на Red Hat Linux, като например Red Hat Enterprise Linux (RHEL), CentOS поток, ОС AlmaLinux, и Роки Linux. За съжаление, в сърцето му е скрита голяма дупка в сигурността.

Дмитрий Антипов, разработчик на Linux в CloudLinux, Компанията майка на AlmaLinux OS, за първи път забеляза проблема през март 2021 г. Антипов установи, че RPM ще работи с неоторизирани RPM пакети. Това означаваше, че неподписаните пакети или пакетите, подписани с отменени ключове, могат безшумно да бъдат закърпени или актуализирани, без нито дума предупреждение, че може да не са кошерни.

Защо? Тъй като RPM никога не е проверявал правилно обработката на отменен сертификат. По-конкретно, както обясни Linux и водещият RPM разработчик Panu Matilainen: “Отмяната е едно от многото неприложени неща в поддръжката на OpenPGP на rpm. С други думи, не виждате грешка като такава; просто изобщо не се прилага, подобно на изтичането не е. ”

Как може да бъде това? Това е така, защото RPM датира от дните, когато получаването на код за работа беше първият приоритет, а сигурността дойде далеч на второ място. Например не знаем дали първо обвързване на RPM е направен от Марк Юинг или Ерик Троан защото беше направено като root. Това бяха дните!

Нещата се промениха. Сигурността е много по-висок приоритет.

Антипов, носещ шапката си като TuxCare (Член на екипа на CloudLinux KernelCare и Extended Lifecycle Support) има изпрати кръпка за да разрешите този проблем. Както Антипов обясни в интервю: „Проблемът е, че както RPM, така и DNF, [a popular software package manager that installs, updates, and removes packages on RPM-based Linux distributions] направете проверка дали ключът е валиден и оригинален, но не е изтекъл, но не и за отмяна. Доколкото разбирам, всички доставчици на дистрибуция току-що са имали късмета, че никога не са били засегнати от това. ”

Те наистина са имали късмет. Въоръжен с остарял ключ, може да е детска игра да проникне зловреден софтуер в настолен компютър или сървър на Linux.

Joao Correia, технически евангелист на TuxCare, попита: “Знаете ли колко време отнема на дистрибуторите да вземат промените, които се подават в хранилищата на кода?”

Антипов отговори:

Това е трудно да се знае. Като цяло проблемът е, че крипто е трудно. Необходим е специален фон, някакво специално преживяване и т.н. Проекти за управление на пакети правят управление на пакети, а не крипто, така че те не искат и не трябва да разработват свои собствени крипто библиотеки, за да включват RPM и DNF. Не съм експерт в крипто полето, за да мога да поправя текущите проблеми с DNF и RPM. Използвал съм RNP библиотека, добре позната библиотека в света с отворен код, вече използвана в Mozilla Thunderbird, например, но самата библиотека не е част от Red Hat или която и да е друга базирана на RPM дистрибуция на Linux. За да вземат корекцията си такава, каквато е, за момента първо трябва да я добавят към библиотеката. Това не е толкова бързо, така че е трудно да се каже колко време ще отнеме.

Той се страхува, че може да минат месеци, преди да бъде пусната корекцията. В момента дупката за сигурност е все още жива, здрава и отворена за атака. Антипов и неговият екип обмислят да открият Общи уязвимости и експозиции (CVE) по въпроса, тъй като в крайна сметка това очевидно е проблем със сигурността.

Ако може да съм толкова смел: Подайте CVE с Red Hat. Това се нуждае от поправяне и трябва да се поправи сега. Междувременно администраторите на базирани на RPM системи ще трябва да разгледат по-отблизо програмите за корекции, за да се уверят, че са легитимни корекции.

Свързани истории:

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com