user317 schrieb:
Hallo zusammen,
wir betreiben bei uns in der Firma einen eigenen Linux Mirror. Dieser spiegelt über rsync den Mirror unter archive.ubuntu.com.
Nun wurden bei einem Scan durch unsere Endpoint Security Software mehrere Pakete mit Sicherheitslücken unter den synchronisierten Paketen gefunden.
Beispiel origami-pdf_1.2.7.orig.tar.gz ⇒ 37 Engines detected auf VirusTotal.
Bitte nicht einen Virenscan-Alarm mit bekannt gewordenen Sicherheitslücken verwechseln - der Quellcode des Projekts enthält neben den Ruby-Skripten gewollt noch ein paar Beispieldateien (Unterordner /samples, die u.a. Dateien mit Exploits enthalten - das steht auch in der beiliegenden README.txt:
:: SUBDIRECTORIES
=================
``attachments/``
* Adding a file attachment to a PDF document.
``crypto/``
* PDF encryption (supports RC4 40-128 bits, and AES128).
- crypto.rb : Create a simple encrypted document.
- encrypt.rb : Encrypt an existing document.
``digsig/``
* PDF digital signatures. Create a new document and signs it with test.key.
``exploits/``
* Basic exploits PoC generation.
``flash/``
* PDF with Flash object. Create a document with an embedded SWF file.
``actions/launch/``
* Launch action. Create a document launching the calculator on Windows, Unix and MacOS.
``actions/loop/``
* Create a looping document using GoTo and Named actions (see also moebius in the scripts directory).
``actions/named/``
* Named action. Create a document prompting for printing.
``actions/triggerevents/``
* Create a document launching JS scripts on various events.
``actions/webbug/``
* Create a document connecting to a remote server.
- webbug-browser.rb : Connection using a URI action.
- webbug-reader.rb : Connection using a SubmitForm action.
- webbug-js.rb : Connection using JS script.
``actions/samba/``
* Implementation of a SMB relay attack using PDF. When opened in a
browser on Windows, the document tries to access a document shared
on a malicious SMB server (on a LAN). The server will then be able
to steal user credentials. This script merely forges the malicious
PDF document.
Die Dateien sind absichtlich dabei und Virenscanner werden die naturgemäß anmeckern und die Nutzung des Archivs verhindern, wenn sie restriktiv genug konfiguriert sind, aber für jemanden, der den Quellcode inkl. Beispielen haben will und weiß was er tut, ist das völlig legitim diese Dateien zu nutzen.
In den Paketquellen ist auch schon die Version 2 erschienen, woraus sich vermuten lässt, dass die Lücke bereits lange geschlossen wurde.
Nein, wie kommt man auf die absurde Idee, dass Virenscanner Sicherheitslücken in Source-Code Archiven entdecken können? Virenscanner sind nicht dafür ausgelegt eine Code-Analyse zu machen, sondern können lediglich auf bestimmte Merkmale matchen, die von ihren Entwicklern als potentielle Eigenschaften potentieller Schadsoftware festgelegt wurden. Dabei gibt es neben korrekten Einstufungen immer die Möglichkeit für
falsch-positive Treffer: harmlose bzw. intentionell so gestaltete Dateien werden angemeckert, weil sie eine gewisse Ähnlichkeit zu bekannter Schadsoftware haben
falsch-negative Treffer: z.B. neue Malware, die noch keine große Verbreitung hat und daher trotz allem Heuristik-Schlangenöl nicht erkannt wird
Wenn ihr wegen ungefixten Sicherheitslücken in Paketen besorgt seid, solltet ihr eher abwägen, ob ihr generell Programme aus universe haben wollt, denn für die gibt es ja größtenteils keine Sicherheitsupdates durch Canonical (sondern nur für die Kernpakete in main und restricted - vgl. Paketquellen (Abschnitt „Die-Komponenten-bei-Ubuntu“)).