Linux-developer bij CloudLinux Dmitry Antipov heeft een beveiligingsprobleem ontdekt in het rpm-software package management system. Dit deel is al sinds het bestaan van Linux 1.x aanwezig in het besturingssysteem en vormt een cruciaal onderdeel voor het distribueren updaten, beheren en verwijderen van softwarepakketten.
Het probleem was al aanwezig sinds 1995 en houdt in dat rpm revoked keys toestond, schrijft ZDNet. Packages met een certificaat dat met teruggeroepen sleutels is gesigneerd of zelfs zonder beveiligingscertificaat kunnen hierdoor door de beveiliging glippen. Rpm-hoofdontwikkelaar Panu Matilainen verklaarde in de discussie op Github dat het terugroepproces simpelweg nooit is toegevoegd in rpm's openpgp.
Helaas kunnen aanvallers hier in theorie gemakkelijk gebruik van maken. Er zijn geen aanvallen bekend, in ieder geval heeft Antipov een patch voorgesteld voor implementatie. Hij vreest echter dat het maanden kan duren voordat distributies de update hebben doorgevoerd. Het probleem is momenteel dus nog aanwezig.
Bron: Dmitry Antipov (Github)
