25 votes

André Wagner avatar

La mise à niveau de la méta-release (do-release-upgrade) est-elle sécurisée ?

Demandé el 6 de Juillet, 2013
Quand la question a-t-elle été
1102 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de comprendre le do-release-upgrade c'est-à-dire la façon dont Ubuntu m'invite à passer à la prochaine version Spring ou automne d'Ubuntu.

Après avoir lu les sources pour ubuntu-release-upgrader J'ai trouvé le /etc/update-manager/meta-release sur mon système. Ce fichier semble utiliser une URL HTTP pour pointer vers http://changelogs.ubuntu.com/meta-release où sont listées les différentes versions d'Ubuntu, de Warty 04.10 à Raring 13.04. Ce fichier répertorie les versions, leur statut de support, la date de sortie et contient un lien vers le site Web de la société. Release fichier.

Maintenant, le Release a une signature GPG correspondante et le sha1sum du fichier Packages qui, à son tour, contient le sha1sum des binaires DEB individuels qui sont installés. Les versions récentes ont également une mise à niveau script et une signature GPG correspondante pour ceux-ci aussi. Tout semble bon.

Ma question porte sur le meta-release lui-même. Il n'est pas servi par HTTPS et je ne trouve pas de signature GPG pour ce fichier. Si quelqu'un remplace ce fichier, pourrait-il d'une manière ou d'une autre faire en sorte que ma machine soit mise à niveau...

  • ...à un communiqué signé qui n'a pas encore passé les tests de sécurité ?
  • ...à une ancienne version qui n'est pas prise en charge et qui présente des failles de sécurité non corrigées ?
Demandé el 6 de Juillet, 2013 par André Wagner

Réponses

Trop de publicités?

1voto

Ritchie333 avatar
Ritchie333 Points 31

Do-release-upgrade nécessite des droits d'administrateur, et si vous êtes sur une version LTS, elle restera sur celle-ci et ne vous fera pas passer automatiquement à une version supérieure. Si vous utilisez des sources non-officielles, cela fait apparaître un tas de messages d'avertissement.

Cependant, les variantes de l'interface graphique ne sont, pour l'utilisateur final, pas différentes de l'UAC sous Windows, où toute personne qui n'est pas assez douée techniquement se contentera de cliquer sur le bouton ou de taper le mot de passe, d'ignorer les avertissements et d'aller se faire une tasse de thé. Donc, en pratique, ce n'est ni plus ni moins sûr que Windows Update.

En bref, je ne ferais pas confiance à la sécurité de la mise à jour. En fait, si vous êtes sur une LTS et que vous utilisez Ubuntu pour des tâches critiques, j'éviterais de mettre à jour une version majeure jusqu'à ce que votre version ne soit plus supportée - la mise à jour casse des choses de manière subtile, ce qui prend du temps à corriger.

Répondu el 2 de Janvier, 2014 par Ritchie333 (31 Points )

-1voto

Registered User avatar
Registered User Points 9233

  • Seul l'administrateur peut causer des changements permanents aux fichiers dans le PC. Les utilisateurs invités ne peuvent pas modifier ces fichiers (ou tout autre), donc personne d'autre que l'administrateur lui-même ne peut faire en sorte que le gestionnaire de mise à jour recherche un lien potentiellement dangereux.

  • Maintenant, l'administrateur n'endommagera pas son propre ordinateur (à moins qu'il ne soit fou). Et il ne faut jamais laisser une tierce personne accéder aux droits d'administrateur. Il n'y a donc pratiquement aucun risque.

  • Des applications malveillantes pourraient le faire, mais si vous utilisez des dépôts de confiance, ce risque n'existe pas.

  • Comme @gertvdijk l'a dit, l'utilisateur doit toujours confirmer les mises à niveau.

  • Et enfin, vous pouvez toujours restaurer le lien original.

En résumé, " quelqu'un "Seul l'administrateur peut apporter des modifications aux fichiers.

ce processus pourrait sûrement être plus sécurisé. peut-être que le logiciel de mise à jour pourrait crypter ces fichiers et utiliser également une clé gpg

Enfin, la lettre d'information hebdomadaire d'Ubuntu vous tient au courant des dernières mises à jour et mises à niveau. Vous pouvez vous en servir pour assurer la sécurité de votre ordinateur.

Répondu el 29 de Décembre, 2013 par Registered User (9233 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X