Dmitry Antipov, un desarrollador de CloudLinux, ha descubierto un importante fallo de seguridad en el formato de paquetes RPM que permite llevar a cabo un proceso de actualización o parcheo con las claves de dichos paquetes revocadas o sin existir.
El origen del fallo de seguridad descubierto en RPM está, sorprendentemente, en los inicios de su desarrollo. El formato de paquetes, que es empleado por los espectros Red Hat (RHEL, CentOS, Fedora, AlmaLinux… ), SUSE (SLED, SLES y openSUSE) y Mandriva (Mageia, OpenMandriva Lx… ), vio la luz en 1995 de la mano de los programadores Marc Ewing y Erik Troan. En aquellos años lo importante no era tanto la seguridad como el hecho de que las cosas funcionaran, así que nos encontramos con aspectos que por entonces no se consideraban muy relevantes, pero que a día de hoy son críticos.
El enfoque de priorizar el funcionamiento sobre la seguridad provocó que el autor del primer commit de RPM fuera ‘root’, así que desde el repositorio de código no se puede saber si la persona que lo hizo fue Marc Ewing o Erik Troan. Es cierto que desde hace tiempo el enfoque ha cambiado y la seguridad es ahora una prioridad innegociable, pero a mediados de los 90 del siglo pasado las cosas eran diferentes.
Por si no está quedando lo suficientemente claro, el fallo de verificación de las claves en el formato de paquetes RPM ha estado presente desde los comienzos de su desarrollo, pero no fue detectado hasta marzo de 2021 por Dmitry Antipov. El desarrollador de CloudLinux descubrió que podía aplicar mediante actualización o parcheo paquetes RPM no autorizados, ya sea porque no estaban firmados o estaban firmados con claves revocadas o expiradas.
Viendo el origen del fallo, no es difícil concluir que RPM nunca ha gestionado correctamente la comprobación de las claves de los certificados, lo que pone en evidencia, al menos según los datos que tenemos, un problema de seguridad muy importante. Panu Matilainen, desarrollador que contribuye en varios proyectos, ha explicado que “la revocación es una de las muchas cosas no implementadas en el soporte OpenPGP de RPM. En otras palabras, no está viendo un error como tal; simplemente no está implementado en absoluto, al igual que la caducidad no lo está”.
Tienes toda la información en MuyLinux
La entrada Descubren un importante fallo de seguridad en los paquetes RPM es original de MuySeguridad. Seguridad informática.