La mise à niveau de meta-release (do-release-upgrade) est-elle sécurisée?

24

J'essaie de comprendre le processus do-release-upgrade , c’est-à-dire la manière dont Ubuntu me pousse à passer à la version Ubuntu du printemps ou de l’automne suivante.

Après avoir lu les sources de ubuntu-release-upgrader , j'ai trouvé / etc / update-manager / meta-release sur mon système. Ce fichier apparaît utiliser une URL HTTP pour pointer sur lien où sont listées les différentes versions d'Ubuntu de Warty 04.10 à Raring 13.04. Ce fichier répertorie les versions, leur état de support, la date de publication et un lien vers le fichier Release .

Maintenant, le fichier Release a une signature GPG correspondante et le sha1sum du fichier Packages qui, à son tour, a le sha1sum des binaires DEB individuels installés. Les versions récentes ont également un script de mise à niveau et une signature GPG correspondante. Tout sonne bien.

Ma question concerne le fichier meta-release lui-même. Il n'est pas servi via HTTPS et je ne trouve pas de signature GPG pour cela. Si quelqu'un remplace ce fichier, pourrait-il en quelque sorte provoquer la mise à niveau de ma machine ...

  • ... à une version signée qui n'a pas encore été soumise aux tests de sécurité?
  • ... vers une ancienne version non prise en charge et présentant des vulnérabilités de sécurité non corrigées?
posée jwal 06.07.2013 - 18:04
la source

2 réponses

2

do-release-upgrade requiert des droits d'administrateur, et si vous êtes sur une version LTS, restez sur et ne vous montrez pas automatiquement une version. Si vous utilisez des sources non officielles, vous obtenez un tas de messages d’avertissement.

Cependant, pour l'utilisateur final, les variantes de l'interface graphique ne sont pas différentes de l'UAC sous Windows. thé. Donc, dans la pratique, il n’est ni plus ni moins sécurisé que Windows Update.

En bref - je ne crois pas que la mise à niveau soit sécurisée. En fait, si vous êtes sur un LTS et que vous utilisez Ubuntu pour des tâches critiques, j'éviterais de mettre à jour une version majeure jusqu'à ce que votre version ne soit plus prise en charge. p>     

réponse donnée Ritchie333 02.01.2014 - 10:59
la source
0
  • Seul l’Admin peut entraîner des modifications permanentes dans les fichiers du PC. Les utilisateurs invités ne peuvent pas modifier ces fichiers (ou tout autre). Personne d'autre que l'administrateur lui-même ne peut amener gestionnaire de mises à jour à rechercher des liens potentiellement dangereux.

  • Maintenant, l’Administrateur n’endommagera pas son propre PC (sauf s’il n’a pas d’esprit). Et il ne faut jamais laisser un tiers accéder aux Droits d’Admin. Il n’ya pratiquement aucun risque.

  • Peut-être que des applications malveillantes pourraient, mais si vous utilisez des mises en pension sécurisées, ce risque ne prévaut pas.
  • Comme @gertvdijk l'a dit, l'utilisateur doit encore confirmer les mises à jour
  • Enfin, vous pouvez toujours restaurer le lien d'origine.

En résumé, " quelqu'un " ne peut pas modifier ce fichier. Seul l’administrateur peut modifier les fichiers.

  

Ce processus pourrait sûrement être plus sécurisé. Le logiciel de mise à jour secure.maybe pourrait crypter ces fichiers et utiliser une clé gpg

Enfin, la newsletter hebdomadaire d'Ubuntu vous tient au courant des dernières mises à jour / mises à jour.Vous pouvez vous en assurer afin que vous puissiez garantir la sécurité de votre ordinateur au mieux.

    
réponse donnée Registered User 29.12.2013 - 14:13
la source

Lire d'autres questions sur les étiquettes