Ubuntu 16.04.6 LTS – Sicherheitsupdate

By | 1. März 2019
Ubuntu Logo

Für die Long-Term-Support-Version (LTS) von Ubuntu 16.04 (Xenial Xerus) ist ein außerplanmäßiges Update erschienen. Hierbei handelt es sich um ein Sicherheitsupdate, dass insbesondere ein Problem in der Paketverwaltung apt behebt. Debian, das von dem gleichen Problem betroffen ist, hat diese Sicherheitslücke bereits mit dem am 27. Januar erschienen Debian 9.7 geschlossen.

In apt wurde eine Sicherheitslücke entdeckt, bei der ein Man-in-the-Middle-Netzwerkadministrator während der Paket-Installation Root-Rechte erlangen und beliebigen Code ausführen kann. Der Entdecker der Lücke hatte auch direkt einen Proof-of-Concept mitgeliefert, um aufzuzeigen, wie diese Lücke ausgenutzt werden kann.

Diese Sicherheitslücke beruht darauf, dass apt das Laden und Abspeichern der Paketdaten auf getrennte, auf verschiedene Protokolle spezialisierten Worker-Prozesse aufteilt und sodann mit diesen Worker-Prozessen über stdin / stdout kommuniziert. Wird dabei ein Repo verwendet, dass über HTTP kommuniziert, wird im Rahmen des HTTP-Abrufprozesses einem 103-Redirect im HTTP-Positionsheader „blind“ – ohne jegliche Überprüfung – gefolgt. Denn wenn der Repo-Server mit einer Umleitung antwortet, gibt der Worker-Prozess diesen 103-Redirect an den übergeordneten Prozess weiter, der dies sodann ohne weitere Überprüfung dazu nutzt, um herauszufinden, welche Ressource er als nächstes anfordern soll.

Dieser Fehler wurde in den neuesten Versionen von apt behoben. Damit die Lücke nicht während des Aktualisierungsvorgangs ausgenutzt zu werden, sollte während der Aktualisierung auf 16.04.6 LTS die HTTP-Weiterleitungen deaktivieren werden.

Darüber hinaus werden in der Ubuntu-Version 16.04.6 LTS noch weitere Fehlerkorrekturen zusammengefasst, die bereits in der Vergangenheit im Rahmen der regulären Updates verteilt wurden. Neue Funktionen finden sich in 16.04.6 LTS dagegen nicht.

Neben der Server-, Desktop- und Core Edition von Ubuntu sind auch aktualisierte Version von Kubuntu, Lubuntu, Xubuntu, Mythbuntu, Ubuntu Kylin und Ubuntu MATE verfügbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.