La mise à niveau de la méta-version (do-release-upgrade) est-elle sécurisée?

24

J'essaie de comprendre le do-release-upgradeprocessus, c'est-à-dire la façon dont Ubuntu me demande de passer à la prochaine version d'Ubuntu au printemps ou à l'automne.

Après avoir lu les sources de, ubuntu-release-upgraderj'ai trouvé le fichier / etc / update-manager / meta-release sur mon système. Ce fichier semble utiliser une URL HTTP pour pointer vers http://changelogs.ubuntu.com/meta-release où les différentes versions d'Ubuntu de Warty 04.10 à Raring 13.04 sont répertoriées. Ce fichier répertorie les versions, leur état de prise en charge, la date de sortie et contient un lien vers le Releasefichier.

Maintenant, le Releasefichier a une signature GPG correspondante et le sha1sum du Packagesfichier qui, à son tour, a le sha1sum des binaires DEB individuels qui sont installés. Les versions récentes ont également un script de mise à niveau et une signature GPG correspondante pour ceux-ci également. Tout sonne bien.

Ma question concerne le meta-releasefichier lui-même. Il n'est pas servi sur HTTPS et je ne trouve pas de signature GPG pour cela. Si quelqu'un remplace ce fichier, pourrait-il provoquer une mise à niveau de ma machine ...

  • ... vers une version signée qui n'a pas encore subi de tests de sécurité?
  • ... vers une ancienne version non prise en charge et présentant des failles de sécurité non corrigées?
security do-release-upgrade jwal
la source
1
Très bonne question et bien écrite. Si ce problème de sécurité peut être confirmé et que les développeurs sont informés, je pense que cela devrait être (non divulgué) jusqu'à ce qu'il soit résolu. Ma première pensée est que cela semble en effet vulnérable à une attaque d'homme au milieu. Cependant, un utilisateur doit encore confirmer la mise à niveau.
gertvdijk
Entre-temps, j'ai rassemblé plus d'informations et une fois que j'aurai trouvé le temps de les étayer avec des faits / expériences, je les posterai comme réponse. Notez que le UpgradeToolSignatureest toujours là, donc il ne sera mis à niveau qu'en utilisant un outil signé par Canonical (mais oui, cela n'atténue pas vos préoccupations).
gertvdijk
J'ai essayé de forcer une rétrogradation à une ancienne version mais le script de mise à niveau a dit qu'il ne savait pas comment passer de raring à hardy. Apt ne rétrograde pas sans remplacement. Il semble que le pire que vous puissiez faire est d'inciter votre victime à effectuer une mise à niveau vers une version plus récente que celle souhaitée, par exemple, développement ou non-lts.
jwal
Je pensais à une autre approche. Astuce: pas de désinfection d'entrée. Je trouverai probablement un peu de temps ce week-end. :)
gertvdijk
1
Je serais plus préoccupé par le fait que l'un des repo Ubuntu soit compromis et que les paquets soient remplacés par des trojanized signés avec le même défini dans le fichier méta.
Justin Andrusk

Réponses:

2

do-release-upgrade nécessite des droits d'administrateur, et si vous êtes sur une version LTS, restera dessus et ne vous enverra pas automatiquement une version. Si vous utilisez des sources non officielles, cela fait apparaître un tas de messages d'avertissement.

Cependant, pour l'utilisateur final, les variantes de l'interface utilisateur graphique ne sont pas différentes de l'UAC sous Windows, où quiconque n'est pas assez soucieux techniquement cliquera simplement sur le bouton ou tapera le mot de passe, ignorera les avertissements et partira pour faire une tasse de thé. Donc, en pratique, ce n'est ni plus ni moins sûr que Windows Update.

En bref - je ne ferais pas confiance à la mise à niveau pour être sécurisée. En fait, si vous utilisez un LTS et utilisez Ubuntu pour des tâches critiques, j'éviterais de mettre à niveau une version majeure jusqu'à ce que votre version ne soit plus prise en charge - la mise à niveau casse les choses de manière subtile, ce qui prend du temps à réparer.

Ritchie333
la source
Ma question concerne en fait un pirate informatique sur le réseau - comme un homme au milieu - plutôt que sur la machine locale exécutant la mise à niveau. Je sais déjà que vous devez être root pour exécuter la mise à niveau sur la machine locale.
jwal
0

  • Seul l'administrateur peut provoquer des modifications permanentes des fichiers sur le PC. Les utilisateurs invités ne peuvent pas modifier ces fichiers (ou tout autre), donc personne d'autre que l'administrateur lui-même ne peut amener le gestionnaire de mise à jour à rechercher un lien potentiellement dangereux.

  • maintenant, l'administrateur n'endommagera pas son propre PC (sauf s'il est hors de son esprit) .Et il ne faut jamais laisser une tierce personne accéder aux droits d'administrateur.Il n'y a donc pratiquement aucun risque.

  • Peut-être que des applications malveillantes le pourraient, mais si vous utilisez des référentiels de confiance, ce risque ne prévaut pas.
  • Comme l'a dit @gertvdijk, l'utilisateur doit encore confirmer les mises à niveau
  • Et enfin, vous pouvez toujours restaurer le lien d'origine.

Donc, en bref, " quelqu'un " ne peut pas modifier ce fichier. Seul l'administrateur peut apporter des modifications aux fichiers.

ce processus pourrait sûrement être plus sécurisé .

Enfin, la newsletter hebdomadaire Ubuntu vous tient au courant des mises à jour / mises à niveau récentes.Vous pouvez le confirmer afin de garantir la sécurité de votre PC au mieux.

Utilisateur enregistré
la source