[Analyse 2026-05-28] curl|bash ohne Integritaetspruefung (keine Checksum/Signatur/Commit-Pin) #2

New issue

Closed

opened 2026-05-29 12:21:30 +02:00 by vr6syncro · 1 comment

vr6syncro commented 2026-05-29 12:21:30 +02:00

Owner

Copy link

Datei: ct/teddytafforge.sh:19 (auch install/all-in-one-install.sh:14,37,41; misc/build.func:616)

Problem: Jede Installer-Ebene bootstrappt via source <(curl -fsSL ...) bzw. curl -fsSL ... | bash ohne GPG-Signatur, sha256-Vergleich oder Commit-Pinning. build.func laeuft nach root_check als root; build.func:616 fuehrt pct exec ... bash -c "curl ... | bash" in der LXC aus. TLS schuetzt nur den Transport. Verifiziert: REPO_RAW_BASE zeigt auf /raw/branch/main.

Impact: Kompromittierung von Forgejo/GitHub, ein bösartiger Maintainer-Commit oder TLS-Interception (rogue CA auf dem PVE-Host) ergibt root-RCE auf dem Proxmox-Host und volle Kontrolle ueber den erstellten Container. Groesste Angriffsflaeche des Projekts.

Empfehlung: Auf unveraenderliche Refs pinnen (Tag/Commit-SHA statt /raw/branch/main) und Artefakte vor Sourcen/Ausfuehren gegen eingechecktes sha256-Manifest oder detached GPG-Signatur verifizieren. Minimum: 'download, inspect, then run'-Pfad im README dokumentieren.

Datei: ct/teddytafforge.sh:19 (auch install/all-in-one-install.sh:14,37,41; misc/build.func:616) Problem: Jede Installer-Ebene bootstrappt via `source <(curl -fsSL ...)` bzw. `curl -fsSL ... | bash` ohne GPG-Signatur, sha256-Vergleich oder Commit-Pinning. build.func laeuft nach root_check als root; build.func:616 fuehrt `pct exec ... bash -c "curl ... | bash"` in der LXC aus. TLS schuetzt nur den Transport. Verifiziert: REPO_RAW_BASE zeigt auf /raw/branch/main. Impact: Kompromittierung von Forgejo/GitHub, ein bösartiger Maintainer-Commit oder TLS-Interception (rogue CA auf dem PVE-Host) ergibt root-RCE auf dem Proxmox-Host und volle Kontrolle ueber den erstellten Container. Groesste Angriffsflaeche des Projekts. Empfehlung: Auf unveraenderliche Refs pinnen (Tag/Commit-SHA statt /raw/branch/main) und Artefakte vor Sourcen/Ausfuehren gegen eingechecktes sha256-Manifest oder detached GPG-Signatur verifizieren. Minimum: 'download, inspect, then run'-Pfad im README dokumentieren.

vr6syncro referenced this issue 2026-05-29 12:21:54 +02:00

Analyse 2026-05-28: 15 Findings (0 critical, 3 high) #5

vr6syncro referenced this issue 2026-05-29 19:12:52 +02:00

Fix: verifizierte Findings 2026-05-28 (1 high) #6

vr6syncro commented 2026-05-29 21:29:52 +02:00

Author

Owner

Copy link

Operator-Entscheidung (Analyse 2026-05-28, Deep/Godmode-Re-Verify): Risiko akzeptieren + README-Security scharf.

README Threat-Model-Sektion (Server/Maintainer-Trust).

Daher als bewusst akzeptiert/erledigt geschlossen. Bei Bedarf mit Begruendung wieder oeffnen.

**Operator-Entscheidung (Analyse 2026-05-28, Deep/Godmode-Re-Verify):** Risiko akzeptieren + README-Security scharf. README Threat-Model-Sektion (Server/Maintainer-Trust). Daher als bewusst akzeptiert/erledigt geschlossen. Bei Bedarf mit Begruendung wieder oeffnen.

vr6syncro closed this issue 2026-05-29 21:29:55 +02:00

vr6syncro referenced this issue 2026-06-04 01:45:10 +02:00

Deep Analysis 2026-06-04 — teddytafforge-proxmox #9

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

fix/followup-2026-05-28

fix/findings-2026-05-28

analysis/findings-2026-05-28

No results found.

Labels

Clear labels

No items

No labels

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

vr6syncro/teddytafforge-proxmox#2

No description provided.