¿Es segura la actualización de metalanzamiento (do-release-upgrade)?

24

Estoy tratando de entender el do-release-upgradeproceso, es decir, la forma en que Ubuntu me pide que actualice a la próxima versión de Ubuntu de primavera u otoño.

Después de leer las fuentes ubuntu-release-upgrader, encontré el archivo / etc / update-manager / meta-release en mi sistema. Este archivo parece utilizar una URL HTTP para apuntar a http://changelogs.ubuntu.com/meta-release donde se enumeran las diversas versiones de Ubuntu de Warty 04.10 a Raring 13.04. Este archivo enumera los lanzamientos, su estado de soporte, la fecha de lanzamiento y tiene un enlace al Releasearchivo.

Ahora el Releasearchivo tiene una firma GPG correspondiente y el sha1sum del Packagesarchivo que, a su vez, tiene el sha1sum de los binarios DEB individuales que se instalan. Los lanzamientos recientes también tienen un script de actualización y una firma GPG correspondiente para estos también. Todo suena bien

Mi pregunta es sobre el meta-releasearchivo en sí. No se sirve a través de HTTPS y no puedo encontrar una firma GPG para ello. Si alguien reemplaza este archivo, ¿podrían de alguna manera hacer que mi máquina se actualice ...

  • ... a un lanzamiento firmado que aún no ha pasado por las pruebas de seguridad?
  • ... a una versión anterior que no es compatible y tiene vulnerabilidades de seguridad sin reparar?
security do-release-upgrade jwal
fuente
1
Muy buena pregunta y bien escrita. Si este problema de seguridad se puede confirmar y se notifica a los desarrolladores, creo que esto debería ser (no revelado) hasta que se solucione. Mi primer pensamiento es que esto realmente suena vulnerable para un ataque de hombre en el medio. Sin embargo, un usuario todavía tiene que confirmar la actualización.
gertvdijk
Mientras tanto, he reunido más información y una vez que encuentre tiempo para respaldarla con hechos / experimentos, la publicaré como respuesta. Tenga en cuenta que UpgradeToolSignaturetodavía está allí, por lo que solo se actualizará utilizando una herramienta firmada por Canonical (pero sí, eso no mitiga las preocupaciones que tiene).
gertvdijk
Traté de forzar una versión anterior a una versión anterior, pero el script de actualización decía que no sabía cómo actualizar de rary a resistente. Apt no baja de categoría sin una anulación. Parece que lo peor que puede hacer es pedirle a su víctima que actualice a una versión más nueva de la que desean, por ejemplo, desarrollo o no.
jwal
Estaba pensando en otro enfoque. Sugerencia: no hay desinfección de entrada. Probablemente encontraré algo de tiempo durante el fin de semana. :)
gertvdijk
1
Me preocuparía más que uno de los repositorios de Ubuntu se vea comprometido y que los paquetes se reemplacen por troyanos que estén firmados con el mismo definido en el metaarchivo.
Justin Andrusk

Respuestas:

2

do-release-upgrade requiere derechos de administrador, y si está en una versión LTS, se mantendrá en eso y no le hará subir automáticamente una versión. Si utiliza fuentes no oficiales, se muestran varios mensajes de advertencia.

Sin embargo, las variantes de GUI en esto no son, para el usuario final, diferentes a UAC en Windows, donde cualquiera que no tenga una mentalidad técnica suficiente simplemente hará clic en el botón o ingresará la contraseña, ignorará las advertencias y se irá a preparar una taza de té. Entonces, en la práctica, no es más o menos seguro que Windows Update.

En resumen: no confiaría en que la actualización sea segura. De hecho, si estás en un LTS y estás usando Ubuntu para cosas de misión crítica, evitaría actualizar una versión principal hasta que tu versión ya no sea compatible: la actualización rompe cosas de manera sutil, lo que lleva tiempo para que lo arregles.

Ritchie333
fuente
Mi pregunta es en realidad sobre un hacker en la red, como un hombre en el medio, en lugar de en la máquina local que ejecuta la actualización. Ya sé que debes ser root para ejecutar la actualización en la máquina local.
jwal
0

  • Solo el administrador puede causar cambios permanentes en los archivos en la PC. Los usuarios invitados no pueden cambiar estos (o cualquier otro) archivo, por lo que nadie más que el propio administrador puede hacer que el administrador de actualizaciones busque algún enlace potencialmente dañino.

  • ahora, el administrador no dañará su propia PC (a menos que esté loco). Y uno nunca debe permitir que ninguna tercera persona acceda a los derechos de administrador. Por lo tanto, prácticamente no hay riesgo.

  • Tal vez las aplicaciones maliciosas podrían, pero si usa repositorios confiables, este riesgo no prevalece.
  • Como dijo @gertvdijk, el usuario aún tiene que confirmar las actualizaciones
  • Y finalmente, siempre puede restaurar el enlace original.

En resumen, " alguien " no puede cambiar este archivo. Solo el administrador puede hacer cambios en los archivos.

este proceso seguramente podría ser más seguro. quizás el actualizador de software podría encriptar estos archivos y también usar una clave gpg

Finalmente, el boletín semanal de Ubuntu lo mantiene actualizado con las actualizaciones / actualizaciones recientes. Puede confirmarlo para garantizar la mejor seguridad de su PC.

usuario registrado
fuente