Failles possibles avec des repo "en clair"

otyugh · 22-06-2018 13:04:44

http://sebsauvage.net/links/?aA6w6w a écrit :

J'ai juste eu le temps de survoler l'article, mais de ce que j'en comprend, des attaques sont possibles sur la signature des paquets dans les dépôt APT (debian/ubuntu/Linuxmint).
Et pour parer à ça il faut impérativement accéder aux dépôts en TLS (https) et non http. https://blog.packagecloud.io/eng/2018/0 … ositories/

J'ai parcouru aussi l'article, et c't'un peu flippant, même si j'ai vérifié aucune des affirmations cités.

Dans tous les cas passer en https est aussi compliqué que de faire

apt install apt-transport-https

mv "/etc/apt/sources.list" "/etc/apt/sources.list.bak" #sauvegarde

sed "s#http://#https://#" "/etc/apt/sources.list.bak" > "/etc/apt/sources.list" #passer la apt source en http=>https

apt update #Appliquer

Éwala. Pas trop cher comme manip.

Dernière modification par otyugh (22-06-2018 13:09:11)

chalu · 22-06-2018 15:05:53

Bonjour,
Stressant cette histoire. En plus le https n'a pas l'air de passer facilement sur le dépôt sécurité

 sudo apt update

Err:2 https://security.debian.org stretch/updates InRelease

  Failed to connect to security.debian.org port 443: Connexion refusée

Ign:3 https://cdn-aws.deb.debian.org/debian stretch InRelease

Atteint:4 https://cdn-aws.deb.debian.org/debian stretch-updates InRelease

Atteint:5 https://cdn-aws.deb.debian.org/debian stretch-backports InRelease

Atteint:6 https://cdn-aws.deb.debian.org/debian stretch Release

Lecture des listes de paquets... Fait

Construction de l'arbre des dépendances       

Lecture des informations d'état... Fait

All packages are up to date.

W: Impossible de récupérer https://security.debian.org/dists/stretch/updates/InRelease  Failed to connect to security.debian.org port 443: Connexion refusée

W: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.

otyugh · 22-06-2018 15:34:45

Hey bizarre pour moi ça marche...

Atteint http://security.debian.org jessie/updates InRelease
Atteint http://security.debian.org jessie/updates/main i386 Packages
Atteint http://security.debian.org jessie/updates/main Translation-en

Dernière modification par otyugh (22-06-2018 15:35:44)

nono47 · 22-06-2018 15:38:13

Salut,

Pareil que chalu

W: Impossible de récupérer https://security.debian.org/debian-security/dists/stretch/updates/InRelease  Connexion à security.debian.org: 443 (2a02:16a8:dc41:100::233) impossible. - connect (111: Connexion refusée) Connexion à security.debian.org: 443 (217.196.149.233) impossible. - connect (111: Connexion refusée) Connexion à security.debian.org: 443 (2001:a78:5:1:216:35ff:fe7f:6ceb) impossible. - connect (111: Connexion refusée) Connexion à security.debian.org: 443 (212.211.132.250) impossible. - connect (111: Connexion refusée)

W: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.

Il m'a mis des lignes style : deb https://ftp.fr.debian.org/debian/ unstable main contrib non-free qui ne pouvais pas atteindre les dépôts,
je les ai changé en deb https://deb.debian.org/debian/ unstable main contrib non-free et ça marche .

édition : tu es en http pour sécurité sur ton message du dessus

Dernière modification par nono47 (22-06-2018 15:39:25)

otyugh · 22-06-2018 15:46:53

Hooo. Ho ?
Hahaha. Dat fail. En faisant le "micro tuto" j'avais cru l'avoir fait chez moi >.<

Fâcheux ça. Je trouve qu'un mail de 2015 sur la liste de sécurité qui dit que le HTTPS de security est aux fraises, et y a eu aucune réponse depuis O.o
https://bugs.debian.org/cgi-bin/bugrepo … bug=802539

...C'est quand même assez ironique.

Dernière modification par otyugh (22-06-2018 15:55:08)

chalu · 22-06-2018 15:53:04

otyugh a écrit :

Hey bizarre pour moi ça marche...

Atteint http://security.debian.org jessie/updates InRelease

oui c'est sur que ça marche, tu n'es pas en https

Chez moi seul le dépôt security pose problème avec le https les autres ont fonctionné
mais bon j'ai tout repassé en http

nono47 · 22-06-2018 15:55:42

J'ai laissé les dépôts en htttps, et remis le security en http, le temps de savoir si security existe en https ...

otyugh · 22-06-2018 16:20:15

nono47 a écrit :

J'ai laissé les dépôts en htttps, et remis le security en http

Meh, idem

Debian Alain · 22-06-2018 16:35:50

ne fonctionne pas avec les dépôts en

http://ftp.fr.debian.org/...

uniquement avec les dépôts en

http://deb.debian.org/...

par ailleurs , même réflexion que nono47 :

# apt update

Atteint:1 https://www.deb-multimedia.org testing InRelease

Err:2 https://security.debian.org/debian-security testing/updates InRelease

  Connexion à security.debian.org: 443 (212.211.132.250) impossible. - connect (111: Connexion refusée) Impossible d'initialiser la connexion à security.debian.org: 443 (2a02:16a8:dc41:100::233). - connect (101: Le réseau n'est pas accessible) Connexion à security.debian.org: 443 (217.196.149.233) impossible. - connect (111: Connexion refusée) Impossible d'initialiser la connexion à security.debian.org: 443 (2001:a78:5:1:216:35ff:fe7f:6ceb). - connect (101: Le réseau n'est pas accessible)

Réception de:3 https://cdn-aws.deb.debian.org/debian testing InRelease [150 kB]

Réception de:4 https://cdn-aws.deb.debian.org/debian testing-updates InRelease [47,6 kB]        

Réception de:5 https://cdn-aws.deb.debian.org/debian unstable InRelease [247 kB]                 

Réception de:6 https://cdn-aws.deb.debian.org/debian experimental InRelease [108 kB]

552 ko réceptionnés en 2s (325 ko/s)                         

Lecture des listes de paquets... Fait

Construction de l'arbre des dépendances       

Lecture des informations d'état... Fait

Tous les paquets sont à jour.

W: Impossible de récupérer https://security.debian.org/debian-security/dists/testing/updates/InRelease  Connexion à security.debian.org: 443 (212.211.132.250) impossible. - connect (111: Connexion refusée) Impossible d'initialiser la connexion à security.debian.org: 443 (2a02:16a8:dc41:100::233). - connect (101: Le réseau n'est pas accessible) Connexion à security.debian.org: 443 (217.196.149.233) impossible. - connect (111: Connexion refusée) Impossible d'initialiser la connexion à security.debian.org: 443 (2001:a78:5:1:216:35ff:fe7f:6ceb). - connect (101: Le réseau n'est pas accessible)

W: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.

donc , pour l'instant , je passe le dépôt security en http:

# apt update

Atteint:1 http://security.debian.org/debian-security testing/updates InRelease

Atteint:2 https://www.deb-multimedia.org testing InRelease                                                                     

Atteint:3 https://cdn-aws.deb.debian.org/debian testing InRelease                                                              

Atteint:4 https://cdn-aws.deb.debian.org/debian testing-updates InRelease

Atteint:5 https://cdn-aws.deb.debian.org/debian unstable InRelease

Atteint:6 https://cdn-aws.deb.debian.org/debian experimental InRelease

Lecture des listes de paquets... Fait

Construction de l'arbre des dépendances       

Lecture des informations d'état... Fait

Tous les paquets sont à jour.

Dernière modification par Debian Alain (22-06-2018 16:36:31)

Philou92 · 22-06-2018 20:15:02

Hello,

Comment apt fait-il pour vérifier que le site joint en https est digne de confiance ?

èfpé · 23-06-2018 15:00:42

Bonjour,

deb.debian.org a écrit :

The redirection service is also available on HTTPS, so with the apt-transport-https package installed, you can use:
deb https://deb.debian.org/debian stable main
deb https://deb.debian.org/debian-security stable/updates main
This service is sponsored by Fastly and Amazon CloudFront.

On note d'emblée que seule l'instance AWS supporte HTTPS, l'instance fastly ne supporte qu'HTTP.

cat /etc/apt/sources.list

deb https://deb.debian.org/debian stretch main

deb https://deb.debian.org/debian-security stretch/updates main

deb https://deb.debian.org/debian stretch-updates main

apt update

Ign:1 https://cdn-aws.deb.debian.org/debian stretch InRelease

Atteint:2 https://cdn-aws.deb.debian.org/debian-security stretch/updates InRelease

Atteint:3 https://cdn-aws.deb.debian.org/debian stretch-updates InRelease

Atteint:4 https://cdn-aws.deb.debian.org/debian stretch Release

Lecture des listes de paquets... Fait

Construction de l'arbre des dépendances

Lecture des informations d'état... Fait

275 packages can be upgraded. Run 'apt list --upgradable' to see them.

Basta problème [Résolu] les goinfres de la modo n'ont même le temps de réclamer leur point choco.

Remarque : packagecloud vend un produit et l'article de référence date tout de même de juin 2008.

Dernière modification par èfpé (23-06-2018 21:00:42)

Debian Alain · 23-06-2018 16:12:13

j'ai trouvé ceci : https://unix.stackexchange.com/question … connection

mais , hélas , pas de solution .

Philou92 · 23-06-2018 21:39:42

Toujours pas compris la polémique.
Si les attaques sont possibles sur la signature des paquets, en quoi https apporte-t-il une protection ?

chalu · 23-06-2018 21:56:34

Si on passe tous en https on va faire péter https://cdn-aws.deb.debian.org/ victime de son succès /accès non ?
C’est bizarre que l’on ait tous le même en https alors qu’avec deb on est sensé faire au près ?

otyugh · 23-06-2018 22:35:46

Philou92 a écrit :

Toujours pas compris la polémique.
Si les attaques sont possibles sur la signature des paquets, en quoi https apporte-t-il une protection ?https://debian-facile.org/img/smilies/xtras/scratchhead.gif

Falsifier un mirroir "de confiance" est plus complexe que de faire des attaques "man in the middle" sur du http ? Mais en aucun cas ça corrige le problème, ça le rend juste plus improbable.

Philou92 · 23-06-2018 22:42:02

chalu a écrit :

Si on passe tous en https on va faire péter https://cdn-aws.deb.debian.org/ victime de son succès /accès non ?
C’est bizarre que l’on ait tous le même en https alors qu’avec deb on est sensé faire au près ?

C'est normal, tout est redirigé sur le même serveur :

If you hit the server behind deb.debian.org directly, either because you use an older apt or because you use a HTTP proxy that does not support SRV records, your requests will get HTTP redirected to one of the CDN instances. If you want to avoid the redirects, you can pick one instance directly. For instance, this also works in your sources.list:

deb http://cdn-aws.deb.debian.org/debian stable main
deb http://cdn-aws.deb.debian.org/debian-security stable/updates main

The redirection service is also available on HTTPS, so with the apt-transport-https package installed, you can use:

deb https://deb.debian.org/debian stable main
deb https://deb.debian.org/debian-security stable/updates main

This service is sponsored by Amazon CloudFront.

Du coup cela répond à ma question

Philou92 a écrit :

Comment apt fait-il pour vérifier que le site joint en https est digne de confiance ?

Pour que cela cause il faut installer le paquet apt-transport-https.

Maintenant mon autre interrogation reste ouverte

Philou92 a écrit :

Si les attaques sont possibles sur la signature des paquets, en quoi https apporte-t-il une protection ?

D'après l'article cité par otyugh les failles reposeraient sur une vieille version d'apt. Est-ce toujours d'actualité ?

Dernière modification par Philou92 (23-06-2018 22:43:23)

chalu · 24-06-2018 08:13:52

Je ne suis pas certaine d’avoir bien traduit même avec deepl

J’observe simplement qu’avec des dépôts http deb.debian.org lorsque je fais update ça reste comme dans le retour
alors qu’avec https c’est changé en cdn-aws
Il y a un seul serveur https ?

èfpé · 24-06-2018 14:46:42

chalu a écrit :

Il y a un seul serveur https ?

Non c'est un réseau de diffusion de contenu : un nom de domaine... une multitude de serveurs :

host cdn-aws.deb.debian.org

cdn-aws.deb.debian.org is an alias for dpvctowv9b08b.cloudfront.net.

dpvctowv9b08b.cloudfront.net has address 52.85.201.109

dpvctowv9b08b.cloudfront.net has address 52.85.201.35

dpvctowv9b08b.cloudfront.net has address 52.85.201.251

dpvctowv9b08b.cloudfront.net has address 52.85.201.166

...

host cdn-aws.deb.debian.org

cdn-aws.deb.debian.org is an alias for dpvctowv9b08b.cloudfront.net.

dpvctowv9b08b.cloudfront.net has address 13.32.210.157

dpvctowv9b08b.cloudfront.net has address 13.32.210.219

dpvctowv9b08b.cloudfront.net has address 13.32.210.11

dpvctowv9b08b.cloudfront.net has address 13.32.210.111

...

host cdn-aws.deb.debian.org

cdn-aws.deb.debian.org is an alias for dpvctowv9b08b.cloudfront.net.

dpvctowv9b08b.cloudfront.net has address 54.192.2.116

dpvctowv9b08b.cloudfront.net has address 54.192.2.76

dpvctowv9b08b.cloudfront.net has address 54.192.2.187

dpvctowv9b08b.cloudfront.net has address 54.192.2.145

...

La répartition de charge qui semble t'inquiéter est, au moins en partie, effectuée au niveau DNS...

Il est possible (mais pas certain du tout), qu'à 300+ km de là tu obtiennes des résultats différents !

chalu · 24-06-2018 15:56:21

Ok merci, je comprend un peu mieux

La réponse chez moi est

host cdn-aws.deb.debian.org

cdn-aws.deb.debian.org is an alias for dpvctowv9b08b.cloudfront.net.

dpvctowv9b08b.cloudfront.net has address 52.85.219.159

dpvctowv9b08b.cloudfront.net has address 52.85.219.199

dpvctowv9b08b.cloudfront.net has address 52.85.219.185

dpvctowv9b08b.cloudfront.net has address 52.85.219.217

...

réponse semblable si je recommence.

Philou92 a écrit :

D'après l'article cité par otyugh les failles reposeraient sur une vieille version d'apt. Est-ce toujours d'actualité ?

c'est vrai que ça serait bon à savoir. Comme par défaut à l'installation de Debian, on est sur http, c'est peut-être que ça a été corrigé. à creuser ...

otyugh · 27-06-2018 01:07:27

Mon truc actuel qui marche "presque bien" (sauf les warning du genre) :

W: Size of file /var/lib/apt/lists/partial/deb.debian.org_debian-security_dists_jessie_updates_InRelease is not what the server reported 44920 16384

Mais c'est peut-être qu'un résidu de bug apt chez jessie ? Du coup je partage quand même histoire de laisser une trace :

deb https://deb.debian.org/debian jessie main

deb https://deb.debian.org/debian-security jessie/updates main

deb https://deb.debian.org/debian jessie-updates main

Edit à toto : Mis les sources en utilisant le BBCode du forum Code - option apt_sources.

Debian Alain · 27-06-2018 10:56:55

sources.list modifié comme conseillé :

~$ cat /etc/apt/sources.list

# buster / testing

deb https://deb.debian.org/debian/ testing main contrib non-free

deb-src https://deb.debian.org/debian/ testing main contrib non-free

# ancien dépôt sécurity 

# deb http://security.debian.org/debian-security testing/updates main contrib non-free

# deb-src http://security.debian.org/debian-security testing/updates main contrib non-free

# dépôt sécurity rectifié (ci - dessous) 

deb https://deb.debian.org/debian-security/ testing/updates main contrib non-free

deb-src https://deb.debian.org/debian-security/ testing/updates main contrib non-free

deb https://deb.debian.org/debian/ testing-updates main contrib non-free

deb-src https://deb.debian.org/debian/ testing-updates main contrib non-free

# sid / unstable

deb https://deb.debian.org/debian/ unstable main contrib non-free

deb-src https://deb.debian.org/debian/ unstable main contrib non-free

# expérimental

deb https://deb.debian.org/debian/ experimental main contrib non-free

deb-src https://deb.debian.org/debian/ experimental main contrib non-free

~$ sudo apt update

[sudo] Mot de passe de alain : 

Atteint:1 https://www.deb-multimedia.org testing InRelease

Atteint:2 https://cdn-aws.deb.debian.org/debian testing InRelease         

Atteint:3 https://cdn-aws.deb.debian.org/debian-security testing/updates InRelease

Atteint:4 https://cdn-aws.deb.debian.org/debian testing-updates InRelease

Atteint:5 https://cdn-aws.deb.debian.org/debian unstable InRelease

Atteint:6 https://cdn-aws.deb.debian.org/debian experimental InRelease

Lecture des listes de paquets... Fait                         

Construction de l'arbre des dépendances       

Lecture des informations d'état... Fait

Tous les paquets sont à jour.

otyugh · 27-06-2018 11:53:31

Pas fan de passer par un des GAFAM, mais bon, question de principe, et à chacun les siens.

chalu · 27-06-2018 12:24:23

Moi je comprends que c’est le service de redirection deb.debian qui est sponsorisé par fastly et Amazon cloud
https://deb.debian.org

otyugh · 27-06-2018 12:29:32

Hé. En effet. Ben putain

Erutluc · 27-06-2018 15:23:12

Salut. Le httpS a l'avantage de garantir la confidentialité des paquets téléchargés (du point de vue du réseau internet).

Debian-facile

#1 22-06-2018 13:04:44

Failles possibles avec des repo "en clair"

#2 22-06-2018 15:05:53

Re : Failles possibles avec des repo "en clair"

#3 22-06-2018 15:34:45

Re : Failles possibles avec des repo "en clair"

#4 22-06-2018 15:38:13

Re : Failles possibles avec des repo "en clair"

#5 22-06-2018 15:46:53

Re : Failles possibles avec des repo "en clair"

#6 22-06-2018 15:53:04

Re : Failles possibles avec des repo "en clair"

#7 22-06-2018 15:55:42

Re : Failles possibles avec des repo "en clair"

#8 22-06-2018 16:20:15

Re : Failles possibles avec des repo "en clair"

#9 22-06-2018 16:35:50

Re : Failles possibles avec des repo "en clair"

#10 22-06-2018 20:15:02

Re : Failles possibles avec des repo "en clair"

#11 23-06-2018 15:00:42

Re : Failles possibles avec des repo "en clair"

#12 23-06-2018 16:12:13

Re : Failles possibles avec des repo "en clair"

#13 23-06-2018 21:39:42

Re : Failles possibles avec des repo "en clair"

#14 23-06-2018 21:56:34

Re : Failles possibles avec des repo "en clair"

#15 23-06-2018 22:35:46

Re : Failles possibles avec des repo "en clair"

#16 23-06-2018 22:42:02

Re : Failles possibles avec des repo "en clair"

#17 24-06-2018 08:13:52

Re : Failles possibles avec des repo "en clair"

#18 24-06-2018 14:46:42

Re : Failles possibles avec des repo "en clair"

#19 24-06-2018 15:56:21

Re : Failles possibles avec des repo "en clair"

#20 27-06-2018 01:07:27

Re : Failles possibles avec des repo "en clair"

#21 27-06-2018 10:56:55

Re : Failles possibles avec des repo "en clair"

#22 27-06-2018 11:53:31

Re : Failles possibles avec des repo "en clair"

#23 27-06-2018 12:24:23

Re : Failles possibles avec des repo "en clair"

#24 27-06-2018 12:29:32

Re : Failles possibles avec des repo "en clair"

#25 27-06-2018 15:23:12

Re : Failles possibles avec des repo "en clair"

Pied de page des forums