Open Source im professionellen Einsatz

Kritik an chaotischem Fehlermanagement bei RPM

30.08.2016

Der freie IT-Journalist und Sicherheitsexperte Hanno Böck hat mit American Fuzzy Lop die Paketmanager RPM und DPKG auf Schwachstellen untersucht und ist fündig geworden. Debian/Ubuntu reagierten zügig, bei RPM stieß Böck allerdings auf unerwartete Hindernisse.

306

In seinem Blog berichtet Hanno Böck von seinen Testergebnissen, die er im November 2015 durch Einsatz von American Fuzzy Lop entdeckt hatte. Er meldete die in DPKG gefundenen Schwachstellen an Debians Security Team und konnte erfreut feststellen, dass nur acht Tage später Fixes und Security Advisories bereitstanden.

Bei den Sicherheitsproblemen in RPM gestaltete sich schon das Reporting schwierig. Schon herauszufinden, wo Bugs in RPM gemeldet werden sollen, sei unklar gewesen. Die RPM-Webseite sei zwar eine Trac-Installation mit eigenem Bug-Tracker, der Versuch, dort einen Account anzulegen führe dann aber zu einer HTTPS-Seite mit abgelaufenem Zertifikat, das nicht zum Domain-Namen passe, so Böck. Wer bereit sei, dieses Zertifikat ausnahmsweise als vertrauensvoll zu akzeptieren lande auf einer Trac-Seite, die einen defekten Eindruck mache. Nach der Registrierung dort sei es nötig, sich auf der Mailingliste oder über den IRC-Kanal eine Erlaubnis einzuholen. Das dürfte dann wohl der Punkt sein, an dem wohlmeinende Bug-Melder aufgeben, schreibt Böck.

Er habe sich dann noch im November direkt an das Red Hat Security Team gewandt, immerhin habe RPM einst für Red Hat Paketmanager gestanden. Red Hat antwortete, dass man weitere 30 Bugs in RPM gemeldet bekommen habe und weder Zeit noch Ressourcen habe, alle Crash-Reports abzuarbeiten.

Im Februar 2016 fragte Böck nach und setzte eine Frist von 30 Tagen, ab der er die Bugs öffentlich machen werde. Red Hat verwies daraufhin auf ein Github-Repository, das einige Fixes, wenn auch nicht für alle Lücken, enthielt. Böck wunderte sich, dass dieses Repository auf der RPM-Seite nicht referenziert ist. Verwirrend findet er, dass auf der RPM-Webseite Version 4.12.0.1 als aktuell gilt, dass es wohl ein inoffizielles Release 4.13 gibt, das Red hat einsetzt, und das Github-Repository Version 4.12.0 als aktuelles Release führt. Böck bemängelt in seinem Blogbeitrag den chaotischen Entwicklungsprozess bei RPM, dort sind auch alle genannten Quellen verlinkt

Ähnliche Artikel

  • Linux Foundation bewilligt Geld für weitere Security-Projekte

    Die Linux Foundation unterstützt künftig drei weitere Projekte, die sich um die Sicherheit kritischer Softwareprojekte kümmern - darunter eines des Golem-Autors Hanno Böck.

  • Parteien-Check: Unsicher im Netz

    Unsere Schwesterpublikation Golem.de hat sich einige der Webseiten angesehen, die Parteien im Wahlkampf nutzen. Zum Teil missachten diese grundlegende Regeln der IT-Sicherheit.

  • Chromium lädt heimlich Binärmodul nach

    Ein Debian-Entwickler hat auf seinem System festgestellt, dass der freie Chromium-Browser im Hintergrund eine Erweiterung für eine Suchfunktion mit Spracherkennung herunterlädt. Automatisch aktiviert wird das Hotword-Modul allerdings nicht.

  • RAM-Chips geben Angreifern Root-Rechte

    Durch permanente Speicherzugriffe lassen sich bei manchen Arbeitsspeichermodulen Bits umkippen. Dadurch sind verschiedene Angriffe möglich. Der Fehler liegt in der Hardware, ohne einen Austausch der Speichermodule ist der Angriff kaum zu verhindern.

  • Racket 6.0 mit fertigem Paketmanager

    Racket ist eine Programmiersprache für alle Einsatzzwecke, gehört zur Lisp/Scheme-Familie, steht unter der LGPL und ist nun in Version 6.0 erschienen, die unter anderem eine neue Paketverwaltung mitbringt.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.