Yumセキュリティモデルまたは敵対的なエージェントが警告なしに更新を拒否できるのはなぜですか?

Yumセキュリティモデルまたは敵対的なエージェントが警告なしに更新を拒否できるのはなぜですか?

私の友人はちょうど最も奇妙な問題に直面しました。彼のFedora 20は現在カーネル3.16.3にアップデートできません(または見つかりません)。しかし、このカーネルも更新されません。壊れやすい打撃バージョン)。キャッシュをクリアし、その人と私のプロフィールを比較し、少し悩んだ後、ついに彼がVPNを使用していることを覚えていて、彼にVPNをオフにしてもう一度やり直すように依頼しました。 VPNの外では完全に動作します。私の考えでは、VPNは積極的なキャッシュを使用してhttpプロキシを実行しているようです。

yumこれにより、ユーザーに提供できるセキュリティの主張について考えました。明らかに、彼は古いストレージ状態に関する警告やエラーメッセージを受け取らなかったため、ストレージデータベースに対する再生攻撃を検出できませんでした。ストレージの概要にタイムスタンプが割り当てられ、定期的に署名されるか、HTTPSを介して取得されるか、または暗号化されたトラフィックの帯域幅を減らすためにHTTPSを介してデータベースハッシュを取得するとします。

個々のパッケージの署名が確認されることがわかっているので、信頼できる当事者によって作成されていないパッケージは私のシステムにインストールできないことを少なくとも確信できます。しかし、部分的な更新はどうですか?悪意のあるエージェントやミラーはパッケージの更新を選択的に拒否する可能性がありますか?たとえば、脆弱なbashパッケージを更新するのではなく、他のすべてのアップデートを配信して、アップデートをまったく受け取らなかったと疑わないようにしますか?

あるいは、攻撃者が選択的に攻撃することもできます。ダウングレードパック?たとえば、ハートブリードに脆弱なopensslパッケージを再インストールしますか?

答え1

私はの観点から答えていますが、aptその場合も同じだと思いますyum

更新はHTTPSではなくHTTPまたはFTPを介して取得されます。アイデアは、ペイロードを暗号化する必要がなく、変更する必要がないため、インデックスのPGP署名によって「適切な」セキュリティが達成されることです。しかし、プレイ攻撃は問題です!

スケーラブルにするには、「シンプルミラー」システムから更新とインデックスを取得する必要があるため、ミラーは接続ごとの計算を実行できません。理論的には、2番目のシステムを使用してインデックスを取得し、一括データには単純なミラーを使用できます。

もちろん、サーバーに接続できるという保証はありません。ローカルシステムの時計を信頼するなら、できるPGP署名の一部として含まれるタイムスタンプを確認してください。これを行うには小さいコンテンツが変更されていなくても、署名が毎日再生成されるようにするいくつかの追加のインフラストラクチャは、古い画像を検出するのに最適です。

質問の最後の部分ではいいえ、強制的にダウングレードすることは不可能です。パッケージ管理の主な側面は、リモートリポジトリに現在保持されているバージョンより前のバージョンが含まれている場合は何もしないことです。

関連情報