Archiv verlassen und diese Seite im Standarddesign anzeigen : Debian Sicherheitsupdates
Tag,
wie kann man die Sicherheitsupdates die man sich per apt-get runterzieht eigentlich hinsichtlich ihrer Integrität überprüfen? Sind die kryptographisch signiert, und wenn ja, wie findet da eine Überprüfung statt? Automatisch im Rahmen des apt-get? Oder muss man das manuell checken?
Puh-Bert
Newbie2001
08.09.02, 21:54
naja eine md5-checksumme wird überprüft aber meines wissens ist das alles. so etwas wie kryptographierung findet meines wissen nicht statt
joey.brunner
08.09.02, 22:23
Ein MD-5 Checksummencheck ist nicht gerade sinnvoll, denn wenn das Paket modifiziert wurde, wurde höchstwahrscheinlhc auch die Summe verändert - denke ich.
joey
Hi,
Ja hier geht doch nur um Daten-Integrität oder? Und dafür reicht MD5.
Ciao, Bernie
joey.brunner
08.09.02, 22:42
Ja, du weißt dann das das Paket integer ist, aber nicht ob es auch tatsächlich ist, was es sein soll..
joey
Newbie2001
08.09.02, 23:23
ich habe ja nicht behauptet, dass das eine großartige sicherheit darstellt, aber tatsache ist halt das als sicherhitsmechanismus nur eine md5-checksumme existiert und das wars. ob das jetzt gut ist oder nicht bleibt jedem selbts überlassen.
PigPen|tuX
09.09.02, 00:30
huhu,
also wenn du Sie von -Y nimmst sollte es eigentlich vertrauenswürdig sein :rolleyes:
deb http://security.debian.org/ stable/updates main contrib non-free
es sei denn du gehts davon aus, das der server gehackt ist und alle pakete durch unsichere ersetzt wurden
mfg.
thom
ich denke mal das die MD5 Summen und die Pakete auf unterschiedlichen Servern liegen, sonst würde dieser Inegritycheck keinen Sinn machen. Ich weiss es aber nicht!
greetz
adme
Warum wuerde es keinen Sinn machen? Mit dem md5 will man doch lediglich Fehler in der Datenuebertragung ausschliessen koenne - zumindest ist das bei uns so. In der Hinsicht ist es egal ob die md5 Checksummen auf dem gleichen oder einem anderen Server liegen, nein?
-phoen][x-
joey.brunner
09.09.02, 07:27
Ganz so richtig ist das nicht. Also die Checksum ist für die Integrität des Pakets zuständig, das heißt a - wie du schon gesagt hast - dass der Download gut ging. Das ist aber eher zweitrangig, da du für die Übertragung zumeinst ein Verbindungsorientiertes Protokoll nimmst, da sind Fehler von haus aus nicht so oft vorhanden. aber zum zweiten sagt dir die checksum, dass keine einzige zeile code im programm verändert wurde und dass es sich genau um das programm handelt, das du willst.
Joey
Hi,
Nur zur Info, die Prüfsumme ist im Paket drin:
Package: apache
Priority: optional
Section: web
Installed-Size: 763
Maintainer: Johnie Ingram <johnie@debian.org>
Architecture: i386
Version: 1.3.19-1
Replaces: apache-modules
Provides: httpd
Depends: libc6 (>= 2.2.2-2), libdb2, mime-support, apache-common (>= 1.3.19-1), apache-common (<< 1.3.20), perl5 | perl
Suggests: apache-doc
Conflicts: apache-modules, libapache-mod-perl (<= 1.17-1), jserv (<= 1.1-3)
Filename: pool/main/a/apache/apache_1.3.19-1_i386.deb
Size: 399528
MD5sum: aaa9b032cd345a4fae5d24692703d2a1
Ciao, Bernie
joey.brunner
09.09.02, 11:23
naja aber es relativ unwahrscheinlich, dass jemand den updateserver kompromittiert.
von daher passt das schon. weil nörgeln kann man sowieso über. ich zumindest tu mich da sehr leicht ;)
joey
Tag,
man muss ja nicht unbedingt den Server kompromittieren, Spoofing wäre ja noch ne Möglichkeit. Wünschenswert wäre eine kryptographische Signierung der Pakete deshalb ja schon. Was ich allerdings noch entdeckt habe: In den Security-Announcements von Debian stehen die MD5 drin, und die Mails selbst sind signiert. Immerhin ;-)
Puh-Bert
joey.brunner
09.09.02, 12:32
Spoofing ist relativ unwahrscheinlich, da das Internet bei richtigen TCP Verbindungen derzeit einfach zu gut abgesichert ist, als dass es eine große Gefahr darstellt. Klar, es ist definitiv möglich. Aber unwahrscheinlihc. Wahrscheinlicher ist da schon Session Hijacking. Dann hast du allerdings recht, dann bist du am Popo ;). Aber naja so ist das leben ;)
joey
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.