Manjaro Abbilder erlauben Installation von Schadsoftware

Mo, 14. Juni 2021, Lioh Möller

In einem jüngst veröffentlichten Hinweis auf der manjaro-security Mailingliste werden Nutzer des Systems aufgefordert ihre Installationen umgehend zu aktualisieren. Grund dafür ist, dass mit den Abbildern für die ARM- und x86_64-Architektur identische lokale Schlüssel zur Paketsignierung ausgeliefert wurden, welche sich im Verzeichnis /etc/pacman.d/gnupg befinden.

Zwar enthalten die Installationsmedien grundsätzlich unterschiedliche Schlüssel, dennoch könnte ein Angreifer versuchen diese aus den verfügbaren Medien zu extrahieren und bei einer Installation oder Aktualisierung mehrerer Pakete einen Angriff mit den verfügbaren Signaturen durchzuführen.

Mögliche Szenarien wäre sogenannte rogue mirrors, also manipulierte Spiegelserver, oder man-in-the-middle Attacken, welche bei der Verwendung eines http-Spiegelservers mit relativ wenig Aufwand durchgeführt werden könnten.

Abhilfe schafft eine Aktualisierung des Systems mithilfe des folgenden Befehls:

pacman -Syu "manjaro-system>=20210612-1"

Als Workaround können die lokalen Signaturen entfernt und neu generiert werden:

sudo rm -rf /etc/pacman.d/gnupg
sudo pacman-key --init
für x86_64: sudo pacman-key --populate archlinux manjaro
für ARM: sudo pacman-key --populate archlinux manjaro archlinuxarm manjaro-arm

Quelle: https://lists.manjaro.org/pipermail/manjaro-security/2021-June/001393.html

Bildquelle: https://www.deviantart.com/peprolinbot/art/Skynet-Manjaro-860309239