Thema: Ubuntu ...

[SiLæncer]

Ist die Linux-Distribution Ubuntu 5.10 (Breezy Badger) als Mehrbenutzersystem eingerichtet, so können andere Anwender unter Umständen sehr leicht an Root-Rechte gelangen. Nach Angaben des Herstellers enthalten die Log-Dateien der Installation /var/log/installer/cdebconf/questions.dat und /var/log/debian-installer/cdebconf/questions.dat das bei der Einrichtung des ersten Anwenders festgelegte Password im Klartext. Die Dateien sind zudem "world-readable" und somit von jedermann lesbar. Zwar ist unter Ubuntu der Root-Account standardmäßig deaktiviert, das bei der Installation definierte erste Anwenderkonto aber in der Gruppe der Administratoren eingetragen und darf mit sudo und Angabe des eigenen Passworts Befehle mit Root-Rechten ausführen. Ob das eigene Passwort im Klartext lesbar ist, können Anwender mit grep -r rootpasswort /var feststellen, wobei rootpasswort durch das eigene zu ersetzen ist.

Ursache des Problems sind Fehler in den Paketen base-config und passwd, die der Hersteller durch die Pakete 2.67ubuntu20 (base-config) und 1:4.0.3-37ubuntu8 (passwd) ersetzt. Das Update beseitigt zudem die Passwörter und macht die Log-Dateien nur für Root lesbar. Ubuntu 4.10, 5.04 und das kommende 6.04 (Dapper Drake) sind nicht von dem Problem betroffen. Wer allerdings von Breezy Badger auf die Entwicklerversion von Dapper Drake aktualisiert hat, sollte das passwd-Pakete ebenfalls auf Version 1:4.0.13-7ubuntu2 updaten.

Siehe dazu auch:

    * Possible to get the administrator password?, Eintrag auf ubuntuforums
    * Bug #34606 in shadow (Ubuntu): "Administrator root password readable in cleartext on Breezy, Fehlerbericht von Karl Øie
    * Ubuntu 5.10 installer vulnerability, Fehlerbericht von Ubuntu

Quelle und Links : http://www.heise.de/security/news/meldung/70754

[SiLæncer]

Sicherheitslücke im Installer der Alternate- und Server-CD

Durch einen Fehler im Textinstaller von Ubuntu 6.06 LTS bleibt das Root-Passwort unter Umständen leer. Normalerweise sperrt die Distribution das Passwort, so dass eine Anmeldung als Root nicht möglich ist. Durch den Fehler kann jedoch jeder Nutzer Root-Rechte erlangen und hat somit uneingeschränkten Zugriff auf das System.

Der Fehler tritt bei allen aktuellen Versionen der Linux-Distributionen Ubuntu, Kubuntu, Edubuntu und Xubuntu auf, betrifft allerdings nur die Installation im Textmodus, wie sie die Alternate- sowie die Server-CD verwenden. Die Desktop-CD mit ihrer grafischen Installationsroutine ist demnach nicht betroffen. Das Problem tritt auf, wenn nach der Meldung, dass die Installation komplett ist, zurück in das Hauptmenü gewechselt wird, anstatt die Installation abzuschließen. Wird sie von hier aus fortgesetzt, so sperrt Ubuntu das Root-Passwort nicht, sondern lässt es leer. Wird die Installation direkt abgeschlossen, sperrt Ubuntu den Root-Zugang korrekt.

Normalerweise ist eine Anmeldung als Root bei Ubuntu nicht möglich. Der Standardnutzer ist allerdings berechtigt, Root-Rechte über "sudo" zu erlangen. Durch den Fehler kann sich allerdings jeder ohne Eingabe eines Passwortes direkt als Root anmelden und erhält damit uneingeschränkten Zugriff auf das gesamte System, ein normales Benutzerkonto ist dafür nicht notwendig. Auch die Vorgängerversion Ubuntu 5.10 hatte bereits Probleme mit dem Root-Passwort.

Verantwortlich für die Sicherheitslücke ist ein Fehler im Paket "passwd", das bereits in einer aktualisierten Version zur Verfügung steht. Beim Update des Paketes überprüft es, ob das System betroffen ist und sperrt den Root-Account gegebenenfalls. Das neue passwd-Paket kann ab sofort über die Paketverwaltung von Ubuntu eingespielt werden.

Quelle : www.golem.de

[SiLæncer]

In einem Vergleich, der keinen Anspruch auf wissenschaftliche Repräsentativität erhebt, hat die Sicherheitsseite SearchSecurity untersucht, welche Linux-Distribution am schnellsten mit Updates zu veröffentlichten Schwachstellen in Programmpaketen aufwartet. Dazu durchsuchte der Autor des Distributionsvergleichs die Datenbank des Sicherheitsdienstleisters Secunia.

Er zog für den Vergleich 30 unterschiedlich kritische Sicherheitslücken aus dem vergangenen halben Jahr heran und vergab dabei 100 Punkte für Distributionen, die noch am selben Tag Patches lieferten, sowie 0 Punkte für die Linux-Variante, für die als letztes Updates verfügbar waren.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Ubuntu-Anwender, die die Repositories Universe oder Multiverse verwenden, können sich nicht unbedingt auf die Sicherheit ihres Systemes verlassen. So wurde offenbar ein Update für eine kritische Lücke im Virenscanner ClamAV schlichtweg vergessen. Erst nachdem heise Security drei Wochen nach dem Erscheinen des Updates für Debian, Fedora und Suse-Linux einen Bug-Report dazu erstellte, wurde das Update eine Woche später nachgereicht. Diesbezügliche Nachfragen an die Sicherheitskontaktadresse wurden bis heute nicht beantwortet. Darüber hinaus wurde der Fix mit der Dringlichkeit "niedrig" bewertet, obwohl Angreifer unter Umständen durch die Schwachstelle beliebigen Schadcode übers Netz einschmuggeln könnten, was beispielsweise Debian dazu veranlasste, die Priorität auf "high" zu setzen.

ClamAV ist in Ubuntu Teil der Universe-Repositories, das standardmäßig nicht aktiviert ist. Die Schuld für das verspätete Update ist daher nicht unbedingt beim Ubuntu-Distributor Canonical zu suchen. Die Firma weist in der Konfigurationsdatei /etc/apt/sources.list explizit darauf hin, dass die Repositories Universe und Multiverse keinen vollen Support mit Security-Updates erhalten. Allerdings greift ein erheblicher Teil der Ubuntu-User auch auf das Universe-Repository zurück, da insbesondere einige Pakete zur Wiedergabe von Multimedia-Inhalten nur daraus zu beziehen sind. Und wer diesen Eintrag einmal aktiviert hat, kann später kaum noch unterscheiden, aus welchem Repository ein Paket ursprünglich stammt und für welche seiner installierten Programme er also mit pünktlichen Updates rechnen kann und für welche nicht.

Erschwerend zur Repository-Problematik, die beispielsweise auch Nutzer von Fedora-Extras oder von Packman für Suse betrifft, kommt hinzu, dass auch die jüngsten Update-Pannen das Vertrauen in den Update-Mechanismus erschüttert haben. Eine fehlerhafte Aktualisierung des X.org-Servers im August und ein Problem mit dem Treiber für NVidia-Grafikkarten vergangene Woche hinterließen einen erheblichen Teil der Dapper-Installationen eine Zeit lang vollkommen ohne grafische Benutzeroberfläche – ein Problem, das besonders Einsteiger überfordert haben dürfte.

Siehe dazu auch:

    * ClamAV führt UPX-komprimierte .EXEs aus am 08.08.2006 auf heise Security
    * Update-Panne bei Ubuntu auf heise open

Quelle und Links : http://www.heise.de/security/news/meldung/78514

[SiLæncer]

Aufgrund einer Schwachstelle im Apache2-Modul mod_python kann ein Angreifer unter bestimmten Umständen an vertrauliche Daten auf dem Server gelangen. Der Fehler liegt im Output-Filter des Moduls, das beim Verarbeiten von zu vielen Daten (mehr als 16.384) auf freigegeben Speicher zugreift und diesen anzeigt.

Das Problem ist zwar bereits seit April 2004 bekannt, allerdings scheint die Tragweite nicht bis zu allen vorgedrungen zu sein. Ubuntu bedankt sich in einem aktuellen Fehlerbericht bei Jim Garrison vom Software Freedom Law Center dafür, den Bug als sicherheitsrelevant erkannt zu haben. Neue Pakete von Ubuntu beheben den Fehler nun auch.

Auch im Issue Tracking System der Distribution rPath taucht das Problem als neu auf, allerdings mit dem Verweis auf den alten Patch. Dort soll das Problem ab dem 15. März gelöst sein. Welche anderen Linux-Distributoren ebenfalls betroffen sind, ist unbekannt.

Zwar weist bereits ein CVE-Eintrag darauf hin, dass ein Sicherheitsproblem vermutet wurde, warum es dann fast drei Jahre braucht, um dies zu bestätigten, ist unklar. Auch ist nicht klar, warum der Patch, sicherheitsrelevant oder nicht, erst ab Version 3.1.4 den Sprung in die offizielle Version geschafft hat.

Siehe dazu auch:

    * libapache2-mod-python vulnerability, Fehlerbericht von Ubuntu
    * buffer leak in outputfilter, Fehlerbericht auf launchpad

Quelle und Links : http://www.heise.de/security/news/meldung/86316

[SiLæncer]

Community-Server mussten vom Netz genommen werden

Fünf der acht von Canonical gestifteten Ubuntu-Community-Server mussten abgeschaltet werden, da sie geknackt wurden und aktiv andere Server angriffen. Die Administratoren sollen über einen längeren Zeitraum keine Sicherheits-Updates eingespielt haben.
Zuerst schien es so, als sei nur ein Server betroffen, meldet der Ubuntu-Community-Manager Jono Bacon. Letztlich stellte sich aber heraus, dass fünf von acht Community-Servern, die Canonical zur Verfügung gestellt hatte, betroffen waren und auch aktiv andere Server angriffen, so dass sie abgeschaltet werden mussten.

Bei der Analyse der Server wurde festgestellt, dass auf den Servern sehr viel Software lief und die Versionen teilweise veraltet waren bzw. Sicherheits-Updates nicht installiert wurden. Zudem wurde FTP ohne SSL-Verschlüsselung genutzt, so dass Passwörter ausspioniert werden konnten und die Server nutzten noch immer den mit "Breezy Badger" ausgelieferten Kernel. Nun wird vermutet, dass der oder die Angreifer eine Kernel-Lücke ausgenutzt haben könnten.

Die Server sollen nun wiederhergestellt werden und Canonical bot den Community-Administratoren an, die Server im eigenen Rechenzentrum aufzustellen. Dort würde es auch bessere Hardware geben - das Kernel-Update wurde offensichtlich nicht eingespielt, da es dann Probleme mit den verwendeten Netzwerkkarten gegeben hätte, womit die zuständigen Administratoren ihr Verhalten erklärten. Allerdings würden die Administratoren dann keinen Root-Zugriff auf die Server erhalten. Sollten die Server weiterhin außerhalb von Canonicals Rechenzentrum stehen, sollten die Administratoren sich jedoch besser um die Computer kümmern, schreibt Bacon.

Quelle : www.golem.de

[SiLæncer]

Ein Fehler im Modul pam_motd (Message of the day) zur Anzeige des Tagesmottos und anderen Infos nach dem Login (auf die Shell) lässt sich unter Ubuntu ausnutzen, um Zugriffsrechte auszuweiten. Angreifer könnten dies für Root-Zugriffe ausnutzen. Ubuntu hat bereits ein Paket bereitgestellt, das den Fehler behebt. Betreiber eines Mehrbenutzersystems sollten es so schnell wie möglich installieren, da auf Twitter bereits eine Anleitung kursiert, wie man durch den Fehler die Zugriffsrechte auf die Passwortdatei /etc/shadow verbiegt. Anschließend kann man die Datei nicht nur lesen, sondern auch ändern.

Ursache des Problems sind die zu hohen Zugriffsrechte, mit denen pam_motd nach dem Login die Datei motd.legal-notice im lokalen Cache-Verzeichnis der Anwenders anlegt oder modifiziert. Sie soll anzeigen, ob die sogenannte "Legal Notice" angezeigt wurde. Das erledigt das Modul allerdings mit Root-Rechten. Mit einem Symlink vom Cache auf die Passwortdatei lässt sich der Besitzer durch einen erneuten Login ändern.

Das Problem tritt nach Angaben der Entwickler nur bei Ubuntu auf, andere Linux-Systeme sollen nicht betroffen sein. Ubuntu hat den Fehler behoben, in dem das Modul nun keine Root-Rechte für den Zugriff auf die Datei motd.legal-notice (unter .cache) mehr benutzt.

Quelle : www.heise.de

[SiLæncer]

Im Betriebssystem Ubuntu ist eine gefährliche Sicherheitslücke entdeckt worden. Sie kann genutzt werden, um Root-Rechte zu erhalten. Ein bereits erhältlicher Patch für Ubuntu behebt das Problem.

Das Sicherheitsleck betrifft Ubuntu in der Version 10.04 sowie dessen Derivate Kubuntu, Edubuntu oder Xubuntu. Die Sicherheitslücke tritt in der Applikation Mountall auf, die dazu dient, Systemdateien in das Betriebssystem zu laden. Mountall erstellt dabei die Udev-Konfigurationsdatei root.rules mit userübergreifenden Schreibrechten, die dann dafür genutzt werden kann, als Root Befehle auszuführen. Ein nutzbarer Exploit ist bereits erschienen. Um diesen zu nutzen, benötigt ein Angreifer lediglich einen Zugang als unpriviligierter Benutzer, entweder lokal oder über das Netzwerk.

Das Problem wurde unter der Nummer USN-985-1 in den Ubuntu Security Notes gelistet. Updates sind bereits in den Repositories verfügbar.

Quelle : www.golem.de

[SiLæncer]

Ubuntu hat mehrere Updates für Pakete zur Verfügung gestellt und schließt damit diverse Schwachstellen.

Drei der Sicherheitslücken betreffen Ubuntu 8.04 LTS, 9.04, 9.10 und 10.04 LTS. Hier haben die Entwickler Flicken für libHX, libgdiplus und Avahi zur Verfügung gestellt. Die geschlossene Sicherheitslücke in libMikMod betrifft Ubuntu 8.04 LTS, 9.04 und 9.10. Einen Patch für Mako gibt es für 10.04 LTS "Lucid Lynx". Von Denial of Service bis zum Ausführen beliebigen Codes ist laut der Sicherheits-Anweisungen alles möglich.

Entsprechend stehen auch neue Pakete für die offiziell unterstützten Abkömmlinge Kubuntu, Edubuntu und Xubuntu bereit. Die Updates können mittels der gewohnten Mechanismen installiert werden. Dies dürfte in den meisten Fällen das Online-Update sein.

Quelle : www.tecchannel.de

[SiLæncer]

Das Ubuntu-Forum ist einem Hackerangriff erlegen, die Betreiber haben die Site vorübergehend abgeschaltet. Eine Ankündigungsseite informiert über den aktuellen Stand der Untersuchung sowie der Wiederherstellungsarbeiten.

Der Statusseite zu Folge haben die Angreifer sämtliche Benutzernamen, Passwörter und E-Mail-Adressen aus der Forendatenbank auslesen können. Glücklicherweise speichert die Datenbank Passwörter nicht im Klartext, sodass keine unmittelbare Gefahr besteht, dass die Hacker damit Unfug treiben können. Sofern ein User sein Ubuntu-Foren-Passwort auch anderswo verwendet, sollte er es dort umgehend ändern.

Ubuntu One, das Launchpad und andere Ubuntu-Dienste sind nicht von dem Hackerangriff betroffen.

Quelle : www.heise.de

[SiLæncer]

Die Entwickler der verbreiteten Linux-Distribution haben eine Schwachstelle behoben: Die bewirkte, dass ein Angreifer den Sperrbildschirm durch einen einfach herbeizuführenden Crash aushebeln konnte.

Die Ubuntu-Entwickler haben eine Sicherheitslücke im Sperrbildschirm ihrer Desktop-Umgebung Unity geschlossen. Das Problem betraf die gerade erst veröffentlichte Version Ubuntu 14.04 LTS und führte dazu, dass der Sperrbildschirm nach einem Crash im entsperrten Zustand wieder startete.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Langzeitpflege versprichen die Macher des kürzlich veröffentlichten Ubuntu 16.04. Das klingt nach Rundum-Schutz, ist aber nur die halbe Wahrheit: In diversen Anwendungen klaffen Sicherheitslücken – auch in populären Multimedia-Paketen.

Das vor wenigen Tagen erschienene Ubuntu 16.04 ist wieder eine Version mit Long Term Support (LTS). Für solche verspricht Canonical fünf Jahre Pflege. Die Ubuntu-Macher sichern diese aber nur für einen Teil des Software-Angebots zu. Wenn man sich die beiden vorangegangenen LTS-Releases heute näher ansieht, stößt man daher schnell auf Software mit seit langem bekannten Sicherheitslücken.

Der ganze Artikel

Quelle : www.heise.de