L'aggiornamento meta-release (do-release-upgrade) è sicuro?

24

Sto cercando di capire il do-release-upgradeprocesso, ovvero il modo in cui Ubuntu mi chiede di aggiornare alla prossima versione di Ubuntu della primavera o dell'autunno.

Dopo aver letto le fonti per ubuntu-release-upgraderho trovato il file / etc / update-manager / meta-release sul mio sistema. Questo file sembra utilizzare un URL HTTP per puntare a http://changelogs.ubuntu.com/meta-release in cui sono elencate le varie versioni di Ubuntu da Warty 04.10 a Raring 13.04. Questo file elenca le versioni, il loro stato di supporto, la data di rilascio e ha un collegamento al Releasefile.

Ora il Releasefile ha una firma GPG corrispondente e lo sha1sum del Packagesfile che, a sua volta, ha lo sha1sum dei singoli binari DEB che vengono installati. Le versioni recenti hanno anche uno script di aggiornamento e una firma GPG corrispondente anche per queste. Tutto suona bene.

La mia domanda riguarda il meta-releasefile stesso. Non è servito su HTTPS e non riesco a trovare una firma GPG per questo. Se qualcuno sostituisce questo file potrebbe in qualche modo causare l'aggiornamento del mio computer ...

  • ... a una versione firmata che non ha ancora superato i test di sicurezza?
  • ... a una versione precedente che non è supportata e presenta vulnerabilità di sicurezza non corrette?
security  do-release-upgrade 
jwal
fonte
1
Ottima domanda e ben scritta. Se questo problema di sicurezza può essere confermato e gli sviluppatori vengono informati, penso che questo dovrebbe essere (non divulgato) fino alla risoluzione. Il mio primo pensiero è che questo suona davvero vulnerabile per un attacco man-in-the-middle. Un utente deve comunque confermare l'aggiornamento.
gertvdijk,
Nel frattempo ho raccolto ulteriori informazioni e una volta trovato il tempo per supportarle con fatti / esperimenti, le pubblicherò come risposta. Nota che UpgradeToolSignaturec'è ancora, quindi si aggiornerà solo usando uno strumento firmato da Canonical (ma sì, ciò non mitiga le preoccupazioni che hai).
gertvdijk,
Ho provato a forzare il downgrade a una versione precedente ma lo script di aggiornamento ha detto che non sapeva come passare da raring a hardy. Apt non esegue il downgrade senza una sostituzione. Sembra che il peggio che puoi fare è spingere la tua vittima a passare a una versione più recente di quella che desidera, ad esempio sviluppo o no-lts.
jwal,
Stavo pensando a un altro approccio. Suggerimento: nessun input igienizzante. Probabilmente troverò un po 'di tempo durante il fine settimana. :)
gertvdijk,
1
Sarei più preoccupato che uno dei repository di Ubuntu sia compromesso e che i pacchetti vengano sostituiti con pacchetti trojan che sono firmati con lo stesso definito nel meta file.
Justin Andrusk,

Risposte:

2

do-release-upgrade richiede i diritti di amministratore e, se sei su una versione LTS, rimarrà su questo e non ti farà automaticamente caricare una versione. Se si utilizzano fonti non ufficiali, vengono visualizzati numerosi messaggi di avviso.

Tuttavia, le varianti della GUI su questo sono, per l'utente finale, non diverse da UAC su Windows, in cui chiunque non sia sufficientemente interessato tecnicamente farà semplicemente clic sul pulsante o digita la password, ignora gli avvisi e si spegne per preparare una tazza di tè. Quindi, in pratica, non è più o meno sicuro di Windows Update.

In breve, non mi fiderei che l'aggiornamento sia sicuro. In effetti, se sei su un LTS e usi Ubuntu per cose mission-critical, eviterei di aggiornare una versione principale fino a quando la tua versione non sarà più supportata - l'aggiornamento interrompe le cose in modi sottili che richiedono tempo per la correzione.

Ritchie333
fonte
La mia domanda riguarda in realtà un hacker in rete - come un uomo in mezzo - piuttosto che sul computer locale che esegue l'aggiornamento. So già che devi essere root per eseguire l'aggiornamento sul computer locale.
jwal,
0

  • Solo l'amministratore può causare modifiche permanenti ai file nel pc. Gli utenti guest non possono modificare questi (o altri) file, quindi nessun altro se non l'amministratore stesso può far sì che il gestore aggiornamenti cerchi un link potenzialmente dannoso.

  • ora l'amministratore non danneggerà il proprio PC (a meno che non sia fuori di testa) e non si dovrebbe mai permettere a terzi di accedere ai diritti di amministratore, quindi praticamente non c'è rischio.

  • Forse le app dannose potrebbero, ma se si utilizzano repository attendibili, questo rischio non prevale.
  • Come ha detto @gertvdijk, l'utente deve ancora confermare gli aggiornamenti
  • E infine puoi sempre ripristinare il link originale.

Quindi in breve " qualcuno " non può modificare questo file. Solo l'amministratore può apportare modifiche ai file.

questo processo potrebbe sicuramente essere più sicuro. Forse l'aggiornamento del software potrebbe crittografare questi file e anche usare una chiave gpg

Infine, la newsletter settimanale di Ubuntu ti tiene aggiornato con gli ultimi aggiornamenti / aggiornamenti. Puoi confermarlo in modo da poter garantire la sicurezza del tuo PC al meglio.

utente registrato
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.