Sicherheitslücke im Upgrade-Mechanismus von Ubuntu und anderen Debian-basierten Distributionen

Am 13.12.2016 wurde eine Sicherheitslücke im Upgrade-Mechanismus von Ubuntu, Debian und anderen darauf basierenden Distributionen veröffentlicht. [1]

 

Durch den Fehler in der Überprüfung der Signaturen von Paketen die für ein Update heruntergeladen werden war bzw. ist es Angreifern theoretisch möglich Nutzern unbemerkt gefälschte Pakete unterzujubeln und damit vollen Zugriff auf das System zu erlangen. [1]

 

Deshalb sollte man nun, sofern man eine der betroffenen Distributionen nutzt, eine komplette Neuinstallation ohne aktive Internetverbindung in Erwägung ziehen. Dies kann und sollte auch als Gelegenheit genutzt werden alle wichtigen Passwörter zu ändern, neue Instant-Messaging-Accounts und evtl. neue GPG-Keys zu verwenden.

 

Im Anchluss an die Installation stellt man die Internetverbindung her und öffnet das Terminal und gibt nacheinander

 

sudo apt-get update

set -o pipefail

wc -L "/var/lib/apt/lists/"*InRelease | awk '$1 > 1024 {print; exit 1}' ; echo $?

 

ein. Kommt der Wert "0" als Rückmeldung ist alles in Ordnung und man kann sein System mit den Befehlen

 

sudo apt-get upgrade

sudo apt-get dist-upgrade

 

auf den neuesten Stand bringen. [2]

 

[1] https://lists.debian.org/debian-security-announce/2016/msg00316.html

[2] https://www.whonix.org/wiki/CVE-2016-1252

Zeige Kommentare: ausgeklappt | moderiert

für die Info. Danke!