Debian-basierte Linux-Systeme weisen eine Sicherheitslücke auf, über die Angreifer das System während des Einspielens von Sicherheits-Updates kapern könnten.

Es ist der Worst Case für ein Update-Konzept und er trifft Debian, Ubuntu & Co mit voller Wucht: Ein Lauscher an der Leitung könnte Code einschleusen, der dann als Root auf dem System des Opfers ausgeführt wird. Ein aktuelles Sicherheits-Update schließt die Lücke und sollte bald möglichst eingespielt werden.

Der Angriff ist möglich, weil die Tools apt und apt-get die Updates ungesichert über herkömmliches HTTP aus dem Netz laden. So kann ein Angreifer im Netz in die Kommunikation manipulieren und dabei über einen speziellen HTTP-Redirect nicht nur seinen Schadcode einschleusen, sondern auch die anschließende Prüfung digitaler Signaturen austricksen, die solche Manipulationen verhindern sollte. Der Entdecker des Bugs Max Justicz erklärt die Details des Angriffs in seinem Blog-Beitrag Remote Code Execution in apt/apt-get. Bei einem TLS-gesicherten Download via HTTPS wäre dies so nicht möglich.

Das Debian-Security-Team hat den Fehler nach der Benachrichtigung umgehend behoben (CVE-2019-3462). Anwender und Admins sollten die aktualisierten Pakete für apt* möglichst schnell einspielen.