Apt per HTTPS

Zwar ist der Bug behoben, aber mit dem Bugreport CVE-2019-3462 ist ein Bug gemeldet worden, der Angreifern (Man in the Middle) die Möglichkeit bot, während eines laufenden Updates beim Abholen der Pakete von den öffentlichen Debian Update Servern die Downloads umzuleiten, sodass Pakete mit Schadcode eingeschleust werden können.

Mit der Umstellung auf HTTPS ist dieser Angriff nicht mehr möglich. Insgesamt ist es keine schlechte Idee zukünftig auf HTTPS umzustellen. Ob Sicherheitslücke oder nicht.

Das Ganze ist in zwei Schritten erledigt:

  1. Zunächst installieren wir das Paket apt-transport-https mit apt-get.
  2. Danach muss die Datei /etc/apt/sources.list angepasst werden. Es muss ein Spiegel verwendet werden, der per HTTPS funktioniert. Glücklicherweise stellt Netcologne einen bereit. Die folgendes sources.list KÖNNTE verwendet werden.

deb https://debian.netcologne.de/debian stretch main
deb-src https://debian.netcologne.de/debian stretch main

deb https://debian.netcologne.de/debian-security/ stretch/updates main
deb-src https://debian.netcologne.de/debian-security/ stretch/updates main

deb https://debian.netcologne.de/debian stretch-updates main
deb-src https://debian.netcologne.de/debian stretch-updates main