16. August 2025
Anfang 2024 sorgte ein schwerwiegender Sicherheitsvorfall für Aufsehen in der Linux-Community: Im XZ Utils-Paket von Debian wurde eine gezielt eingebaute Hintertür entdeckt. Diese weit verbreitete Komprimierungsbibliothek ermöglichte es Angreifern, SSH-Authentifizierungen zu umgehen und beliebige Befehle auszuführen – ein alarmierendes Beispiel für die Verwundbarkeit der Software-Lieferkette.
Da Ubuntu auf Debian basiert, war auch die Entwicklungsversion betroffen. Aus Sicherheitsgründen wurde der Veröffentlichungsprozess von Ubuntu 24.04 vorübergehend gestoppt, um sicherzustellen, dass keine manipulierten Pakete in das finale Release gelangen.
Der Vorfall rund um XZ Utils machte deutlich, wie wichtig eine lückenlose Überwachung, Verifizierung und Kontrolle in modernen IT-Infrastrukturen ist. Angriffe auf die Software-Lieferkette – wie im Fall von XZ Utils – zielen darauf ab, über scheinbar vertrauenswürdige Quellen Schadsoftware unbemerkt und weitreichend zu verbreiten.
Solche Ereignisse betonen die Notwendigkeit vorausschauender Sicherheitsstrategien. Dazu gehören regelmäßige System-Updates, Bedrohungserkennung durch kontinuierliche Wachsamkeit sowie streng geregelte Verfahren zur Verifikation von Softwarepaketen.
Der NOREYA UPDATE MEISTER wurde entwickelt, um Ihre Systeme effektiv vor Gefahren durch manipulierte Software-Lieferketten zu schützen. Durch das Spiegeln von Update-Archiven und umfassende Prüfmechanismen vor der Verteilung von Updates wird das Risiko, schädliche Pakete einzuspielen, deutlich reduziert.
Die zentralen Vorteile des NOREYA UPDATE MEISTER im Überblick:
ubuntu.sourcesUm einen vertrauenswürdigen Mirror für Ihre
Ubuntu-Infrastruktur aufzubauen, ist ein grundlegendes
Verständnis der Paketquellen-Konfiguration
erforderlich. Bei Ubuntu 24.04 („noble“) befindet sich
die Standardkonfiguration in der Datei
/etc/apt/sources.list.d/ubuntu.sources und
sieht in der Regel wie folgt aus:
Types: deb
URIs: http://archive.ubuntu.com/ubuntu/
Suites: noble noble-updates
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg
Types: deb
URIs: http://security.ubuntu.com/ubuntu/
Suites: noble-security
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg
Hier eine Aufschlüsselung dessen, was jeder Eintrag bedeutet:
Dieses Archiv (“Suite”) enthält den Großteil der Softwarepakete, insgesamt über 50.000.
Es umfasst wichtige Fehlerbehebungen und kleinere Aktualisierungen zwischen den Hauptversionen.
Lieferung täglicher kritischer Sicherheitspatches zum Schutz vor neuen Schwachstellen.
Diese ubuntu.sources Konfiguration
lässt sich folgendermaßen in eine NOREYA UPDATE
MEISTER Konfiguration übertragen.
Wichtig ist das sie alle Archive, Releases, Komponenten
und Architekturen die in deiner Infrastruktur
eingesetzt werden enthalten sind.
Bitte beachte das die folgende Konfiguration rund
300GB freien Festplattenspeicher
benötigt:
config.yaml
sync:
- uid: 1
display_name: ubuntu-2404
host: http://archive.ubuntu.com/ubuntu/
url_path: ubuntu
snapshot_directory: /srv/snapshots/ubuntu-2404
working_directory: /srv/workdirs/ubuntu-2404
endpoints:
- name: ubuntu2404/stable
- name: ubuntu2404/testing
architectures:
- amd64
components:
- main
- universe
- restricted
- multiverse
releases:
- noble
- noble-updates
- uid: 2
display_name: ubuntu-2404-security
host: http://security.ubuntu.com/ubuntu/
url_path: ubuntu-security
snapshot_directory: /srv/snapshots/ubuntu-2404-security
working_directory: /srv/workdirs/ubuntu-2404-security
endpoints:
- name: ubuntu2404-security/stable
- name: ubuntu2404-security/testing
architectures:
- amd64
components:
- main
- non-free-firmware
- non-free
releases:
- bookworm-security
Die initiale Synchronisation lässt sich folgendermaßen starten:
systemctl start nupme-sync
Der Vorgang kann je nach Internetgeschwindigkeit mehrere Stunden oder Tage dauern.
Der Status kann mit systemctl status
nupme-sync überprüft werden.
In der UI müssen die Endpunkte vor der Verwendung einem Snapshot zugewiesen werden.
Mit dem folgenden Befehlen kann die
ubuntu.sources eines Ubuntu Systems
(Client!) auf den internen Host umgestellt werden.
Es werden die in der config.yaml
konfigurierten Endpunkte ubuntu2404/stable
und ubuntu2404-security/stable verwendet.
Der Hostname example.local wird für den
intern Host verwendet.
sources.list
sed -i 's|http://archive\.ubuntu\.com/ubuntu/|https://example.local/ubuntu2404/stable/|g' /etc/apt/sources.list.d/ubuntu.sources
sed -i 's|http://security\.ubuntu\.com/ubuntu/|https://example.local/ubuntu2404-security/stable/|g' /etc/apt/sources.list.d/ubuntu.sources
Ubuntu nutzt “Phased Updates” um das Rollout der
Updates phasenweise zu verzögern.
In unserem Fall wird das vom NOREYA UPDATE MEISTER
übernommen, es ist also ratsam den Mechanismus zu
deaktivieren.
Da dieser Mechanismus serverseitig nicht geändert
werden kann ohne die Archiv-Signaturen zu verletzen,
muss er clientseitig konfiguriert werden.
/etc/apt/apt.conf.d/99no-phased-updates
APT::Get::Always-Include-Phased-Updates true;
Update-Manager::Always-Include-Phased-Updates true;
Die folgende Konfiguration auf dem Client stellt
sicher, dass die Updates immer vom Server eingespielt
werden, auch wenn dies ein Downgrade bedeutet!
Bitte beachten Sie, dass diese Konfiguration
unerwartete Folgen haben kann!
/etc/apt/preferences.d/10_update_priority.pref
Package: *
Pin: origin "example.local"
Pin-Priority: 1100
Die ausführliche Dokumentation zu den Optionen kann
man mittels man apt_preferences
abrufen.
Wenn man nun auf dem Ubuntu Client System
apt-get update ausführt sollte der interne
Host verwendet werden.
Mit dem NOREYA UPDATE MEISTER
bringen Sie Ihre Ubuntu-Infrastruktur in wenigen
Schritten unter zentrale Kontrolle.
Die zentrale Verwaltung, Prüfung und Steuerung von
Updates schützt nicht nur effektiv vor Angriffen über
manipulierte Pakete, sondern ermöglicht im Ernstfall
auch ein schnelles Rollback auf eine sichere
Version.