Thema: Sicherheitslücken in Linux ...

[Warpi]

Heute Morgen kam ein neuer Ubuntu - Kernel. Für Ubuntu wird das wohl erledigt haben.

[SiLæncer]

Durch eine Schwachstelle im Linux-Kernelcode für den CIFS-Client soll es möglich sein, dass ein manipulierter SMB-Server ein Anwender-System abstürzen lassen oder kompromittieren kann. Ursache ist ein zu kleiner Puffer in der Funktion CIFSTCon in fs/cifs/connect.c bei der Verarbeitung der Serverantwort auf den Verbindungswunsch auf eine Ressource, ein so genannter Tree Connect. Damit ließe sich Code einschleusen und ausführen. Der Fehler tritt in der Regel nur beim Mounten auf.

Die Linux-Entwickler haben bereits mit der Kernel-Version 2.6.29.1 versucht, den Fehler zu beheben, indem sie die Pufferlänge einfach verdoppelten. Allerdings wiesen sie nicht explizit darauf hin, dass es sich um ein potenzielles, über das Netzwerk ausnutzbares Problem handelte. Der Sicherheitsspezialist Felix von Leitner vermutete in seinem Blog aber bereits Anfang dieser Woche, dass es sich um eine Sicherheitslücke in CIFS handelt, die aus der Ferne ausnutzbar sei. Gegenüber heise Security gab er an, dass der Fix im Kernel 2.6.29.1 das Problem zwar löse, der gesamte Code aber fragwürdig sei. Beispielsweise seien die Prüfungen der Länge von Zeichenketten wackelig.

Ganz sicher sind sich die CIFS-Entwickler mit ihrem Patch in der aktuellen Kernelversion wohl nicht, denn auf der linux-cifs-client-Mailingliste diskutieren sie weiter über die sinnvolle Länge des Puffers. Suresh Jayaraman von Suse vermutete, dass statt einer Verdoppelung eher eine Vervierfachung der Länge nötig sei. Im Laufe der Diskussion kamen die Entwickler zu dem Schluss, dass es notwendig sei, die Funktionen zur Längenprüfung zu übergebender Zeichenketten vollständig zu überarbeiten.

Quelle : www.heise.de

[SiLæncer]

Ein Fehler im udev-Dienst unter Linux lässt sich nach Angaben mehrerer Linux-Distributoren ausnutzen, um an Root-Rechte zu gelangen. Mit udev legt der Kernel gerätespezifische Dateien und Ordner (/dev/) für die Ein- und Ausgabe dynamisch an, sodass in /dev nur solche Geräte auftauchen, die tatsächlich angeschlossen sind. udev ist nicht direkt Bestandteil des Linux-Kernels, aber in fast allen Linux-Distributionen mit einem 2.6er-Kernel enthalten und standardmäßig aktiv.

Schickt ein Angreifer manipulierte Netlink-Nachrichten an udev, so kann er damit eine für jedermann beschreibbare Block-Gerätedatei für ein vorhandenes Block-Gerät anlegen – laut Fedora etwa für das Root-Dateisystem. Damit soll es dann etwa durch Manipulationen oder Anlegen von Dateien nmöglich sein, an Root-Rechte zu gelangen.

Der Fehler wurde von Sebastian Krahmer von Suse entdeckt, der gleich noch eine weitere Lücke in udev fand: Ein Integer Overflow in einer Funktion zum Dekodieren des Pfades. Im Weiteren soll sich der Fehler für einen Heap Overflow ausnutzen lassen. Bislang steht aber nur fest, dass sich udev damit zum Absturz bringen lässt. Zumdindest die Fedora-Entwickler schließen aber nicht aus, dass ein am System angemeldeter Angreifer (lokal oder über das Netz) damit ebenfalls an Root-Rechte gelangen konnte. Die Linux-Distributoren haben bereits aktualisierte Pakete herausgegeben oder bereiten dies gerade vor.

Siehe dazu auch

    * udev-127-5.fc10 security update, Beschreibung von Fedora
    * udev vulnerabilities, Beschreibung von Ubuntu

Quelle : http://www.heise.de/newsticker/Schwachstellen-in-Linux-ermoeglichen-Root-Rechte--/meldung/136259

[SiLæncer]

Der Entwickler des Grsecurity-Projekts, Brad Spengler, hat einen Exploit für eine Lücke im Tun-Interface des Linux-Kernel 2.6.30 und des in RHEL5 verwendeten Kernel 2.6.18 veröffentlicht, über die Angreifer an Root-Rechte gelangen können. Das besondere daran ist, dass der Exploit offenbar sogar Sicherheitserweiterungen wie SELinux aushebeln kann. Die Lücke ist dem Bericht von Spengler zufolge nur in diesen Kernel-Versionen zu finden. Kern des Problems ist offenbar eine normalerweise nicht ausnutzbare Null-Pointer-Dereference, die im Zusammenspiel mit den Optimierfunktionen des GCC doch ausnutzbar wird.

Das Zusammenspiel der Lücke und der Tricks, um SELinux zu umgehen, ist relativ knifflig. Das Internet Storm Center hat einen ersten Blick auf die Schwachstelle geworfen. So ist folgender Codeschnipsel für das Problem verantwortlich:

static unsigned int tun_chr_poll(struct file *file, poll_table * wait)

struct sock *sk = tun->sk;
…
if (!tun)
    return POLLERR;

Demnach soll zwar if (!tun) bei 0 (NULL) einen Fehler zurückliefern, jedoch optimiert der Compiler den if-Block einfach weg, da die Variable ja bereits zugewiesen respektive deferenziert wurde. In der Folge kann der Kernel unter Umständen doch auf die Adresse x00000000 zugreifen, was ein Angreifer auf eigenen Code umbiegen kann. Marcus Meissner von Suse bestätigte gegenüber heise Security das prinzipielle Problem.

Damit der Exploit funktioniere, seien aber zwei weitere Bedingungen nötig, erklärt Meissner. Der Code müsse des Device /dev/net/tun öffnen können, wozu der Exploit ladbare Module von pulseaudio benutze, die in einigen Distributionen SUID gesetzt sind. Zudem müsse der Code die Exploit-Schutzfunktionen "mmap_min_addr" ausschalten können, was Spengler offenbar über einen Fehler in der Implementierung von sogenannten Personalities erreiche.

Die Lösung des Problem ist nach einhelliger Meinung sehr einfach: Man muss im betroffenen Code die Prüfung vor die Zuweisung setzen, um die Wegoptimierung zu verhindern. Im Kernel 2.6.30.2 soll der Fehler behoben sein.

Künftige Kernelversionen sollen zudem mit der Option "fno-delete-null-pointer-checks" übersetzt werden, womit der Compiler keine Prüfungen für Null-Pointer-Prüfungen mehr eliminiert. Auf lwn.net gehen derweil die Meinungen auseinander, ob es sich um eine Kaputtoptimierung des GCC oder einen Programmierfehler handelt.

Siehe dazu auch:

    * Linux 2.6.30+/SELinux/RHEL5 test kernel 0day, exploiting the unexploitable, Beschreibung von Brad Spengler
    * A new fascinating Linux kernel vulnerability, Meldung des ISC
    * Linux 2.6.30 exploit posted, Meldung auf lwn.net


Quelle : http://www.heise.de/newsticker/Root-Exploit-fuer-Linux-Kernel-veroeffentlicht--/meldung/142171

[SiLæncer]

Eine kritische Sicherheitslücke im Linux-Kernel betrifft alle Versionen 2.4 und 2.6 seit 2001 auf allen Architekturen, berichten die Google-Sicherheitsspezialisten Tavis Ormandy und Julien Tiennes. Die Lücke ermöglicht es Anwendern mit eingeschränkten Rechten, an Root-Rechte auf dem System zu gelangen. Ursache ist eine Null-Pointer-Dereferenzierung im Zusammenhang mit der Initialisierung von Sockets für selten verwendete Protokolle.

Üblicherweise definiert eine Pointer-Struktur, welche Operationen ein Socket unterstützt, etwa accept, bind und so weiter. Ist aber etwa die Operation accept nicht implementiert, so sollte sie auf eine vordefinierte Komponente wie sock_no_accept zeigen. Allerdings ist dies offenbar nicht bei allen implementierten Protokollen der Fall. Der Bericht nennt unter anderem PF_BLUETOOTH, PF_IUCV, PF_INET6 (mit IPPROTO_SCTP), PF_PPPOX und PF_ISDN. Dort bleiben einige Zeiger uninitalisiert, was sich im Zusammenhang mit der Funktion sock_sendpage zum Ausführen von Code mit Root-Rechten ausnutzen lässt.

Ormandy und Tiennes glauben, dass Linux-Version 2.4 und 2.6 seit Mai 2001 betroffen sind, also 2.4.4 bis einschließlich 2.4.37.4 sowie 2.6.0 bis einschließlich 2.6.30.4. Die Kernel-Entwickler haben, statt alle unvollständig implementierten Protokolle zu fixen, einfach sock_sendpage auf die Funktion kernel_sendpage umgemappt, die auch den Fall behandelt, dass ein Zeiger nicht initalisiert ist. Die Korrektur ist aber bislang nur in das Kernel-Repository eingeflossen.

Es ist aber in Kürze mit einer neuen offiziellen Kernel-Version zu rechnen, da für die Lücke bereits ein Exploit (wunderbar_emporium) öffentlich verfügbar ist. Autor des Codes ist erneut Brad Spengler, der bereits Mitte Juli einen Root-Exploit für den Linux-Kernel veröffentlichte. Der neue Exploit ermöglichte in einem kurzen Test der heise-Security-Redaktion auf einem vollständig gepatchen Ubuntu 8.10 den Root-Zugriff auf das System.

Laut Ormandy und Tiennes soll der Exploit aber bei aktuellen Kerneln mit mmap_min_addr-Unterstützung nicht funktionieren, wenn dort mittels sysctl als Wert für vm.mmap_min_addr eine Zahl größer als Null definiert ist.

Quelle : www.heise.de

[SiLæncer]

Ein erneuter sogenannter "Null Pointer Dereference Flaw" in allen Versionen des Linux-Kernels 2.6 erlaubt es einfachen Benutzern, Root-Rechte auf einem Linux-System zu erlangen. Die Sicherheitslücke wurde von Kernel-Entwicklern bereits im aktuellen Release Candidate der neuen Kernel-Version 2.6.32 behoben.

Der Entwickler Brad Spengler, der bereits im Juli eine Sicherheitslücke aufgedeckt hatte, hatte auf den Exploit Mitte Oktober 2009 mit einem Proof-of-Concept-Papier hingewiesen. Er kritisiert nun, die Veröffentlichungspolitik der Kernel-Entwickler sei nicht transparent genug, wenn es um Sicherheitslücken geht. Er findet es verwunderlich, dass die gravierende Sicherheitslücke nicht vom Entwicklerteam entdeckt wurde.

Der Fehler tritt auf allen bislang von Brad Spengler getesteten Red-Hat-Systemen auf. Betroffen sind auch der FreeBSD-Kernel und Debian-Systeme samt deren Derivaten. Ein Angreifer muss auf dem betroffenen Rechner lokal als Benutzer angemeldet sein. In den Kernel-Versionen 2.4 und bis 2.6.10 löst die Sicherheitslücke einen "copy_from_user"-Schreibzugriff in den Speicher aus.

Die Sicherheitslücke tritt auf, wenn das Feature "mmap_min_addr" deaktiviert ist. Liegt die Mindestadresse, auf die ein Prozess den Speicher ansprechen kann, bei null, kann der Exploit greifen. Zahlreiche Anwendungen, etwa die Emulatoren Dosemu und Qemu, zahlreiche Entwicklertools oder Wine benötigen aber den Zugriff auf den unteren Speicherbereich. Aus diesem Grund verzichten viele Distributionen darauf, die Option "mmap_min_addr" zu aktivieren. Im Debian-Wiki wird bereits seit Ende Oktober 2009 auf diese Problematik hingewiesen und ein Workaround beschrieben. Dort wird empfohlen, die mmap_min_addr-Einstellungen auf 4096 heraufzusetzen. Dies minimiert zumindest die Gefahr des Auftretens eines "Null Pointer Deference Flaw". Die Wiki-Seite bietet auch eine Liste aller Applikationen, die von den heraufgesetzten Einstellungen betroffen sind.

Quelle : www.golem.de

[SiLæncer]

Mehrere Linux-Distributoren geben für den Kernel aktualisierte Pakete heraus, um Sicherheitslücken darin zu schließen. So lässt sich laut Bericht aus der Ferne im TCP/IPv4-Stack mit sehr großen Paketen ein Fehler in der Funktion ip_defrag() (net/ipv4/ip_fragment.c) provozieren. Dies führt unter Umständen zu einer Null-Pointer-Dereferenzierung, die zum Absturz des Systems führt.

Ob sich der Fehler von am System angemeldeten Anwendern mit eingeschränkten Nutzerrechten auch zum Ausführen von Code mit Kernel-Rechten ausnutzen lässt, wie dies bei mehreren der vorhergehenden Null-Pointer-Dereferenzierungsbugs der Fall war, ist den Beschreibungen der Distributoren und Kernelentwickler nicht zu entnehmen. Der Fehler wurde im Linux-Kernel 2.6.32-rc8 entdeckt und ist in der finalen Version beseitigt.

Darüber hinaus beseitigen die neuen Kernel-Pakete eine Schwachstelle im Code des Ext4-Dateisystems. Beim Aufruf des "move extents"-I/O-Controls werden offenbar die Rechte nicht richtig geprüft. Nach Angaben von Ubuntu kann ein (am System angemeldeter) Angreifer dies ausnutzen, um beliebige Dateien auf dem System zu überschreiben. Damit ließe sich das System nicht nur unbrauchbar machen.

Mit gezielten Manipulationen könnte der Angreifer laut Ubuntu jedoch auch an Root-Rechte gelangen. Standardmäßig wird Ext4 als Dateisystem unter Ubuntu 9.10, OpenSuse 11.2 und Fedora angelegt. Die kommerziellen Linux-Systeme von Red Hat und Novell nutzen noch ext3, sind also normalerweise nicht betroffen. Zum Schließen der Ext4-Lücke haben aber noch nicht alle Distributoren neue Pakete verteilt, dies dürfte sich aber in Kürze ändern.

Quelle : www.heise.de

[SiLæncer]

Durch ein konzeptionelles Problem in der Speicherverwaltung von Linux können lokale Angreifer unter Linux Code mit Root-Rechten ausführen, wie Rafal Wojtczuk in seinem Paper beschreibt. Das Problem beruht auf der mögliche Überschneidung der Speicherbereiche des Stacks und von Shared-Memory-Segmenten unter Linux.

Wojtczuk führt als konkretes Angriffsbeispiel den X-Server an, bei dem sich durch Ausfüllen des Speichers mit Daten (etwa Pixmaps, etc.) die Grenzen von Heap und Stack sehr nah aneinander bringen lassen. Ein dann vom Angreifer angefordertes Shared Memory Segment wird dann an das Ende des Heaps gehängt. Schafft man es nun, den X-Server eine rekursive Funktion aufrufen zu lassen, so wächst der Stack in das Shared Memory Segment. Schreibt der Angreifer in diesem Moment in den angeforderten Shared Memory, so verändert er zugleich den Inhalt des Stacks, etwa Rücksprungadressen. Auf diese Weise lässt sich Code mit Root-Rechten ausführen. Der grsecurity-Entwickler Brad Spengler hat einen Exploit veröffentlicht, der das Problem demonstriert – aber nur zum Absturz des X-Server führt.

Laut Sicherheitsexpertin Joanna "Bluepill" Rutkowska ist die Schwachstelle schon seit Jahren im Kernel vorhanden, vermutlich seit der Veröffentlichung von Version 2.6 im Dezember 2003. Wojtczuk schlägt in seinem Paper als Lösung vor, für einen Mindestabstand von einer Speicherseite (Guard Page) zwischen Stack und anderen Speicherbereichen zu sorgen. Diese Funktion wurde in den Kernel-Versionen 2.6.32.19, 2.6.34.4 und 2.6.35.2 bereits implementiert – jedoch ohne explizit auf das Problem hinzuweisen. Zudem werden Prozesse, deren Stack die Grenze anderer Speicherbereiche berührt, nun per SIGBUS terminiert. Für 2.6.27.52 wird ein Update noch vorbereitet. Wer nicht den Kernel von Kernel.org nutzt, sollte auf ein Update seitens des Anbieter der jeweiligen Linux-Distribution warten. Red Hat hat bereits mit einem eigenen Hinweis reagiert.

Ausnutzen lässt sich Schwachstelle bei allen älteren Versionen, sofern auf dem System ein X-Server läuft. Will man ein System aus der Ferne kompromittieren, müsste man zunächst eine weitere Lücke ausnutzen, um überhaupt Code auf das System schleusen und ausführen zu können. Im zweiten Schritt würde man sich denn auf dem oben beschriebenen Weg Root-Rechte verschaffen. Kernel-Entwickler Greg Kroah-Hartman richtet sich mit deutlichen Worten an die Linux-Gemeinde: "Alle Nutzer [der betroffenen Kernel-Serien] müssen updaten."

Quelle : www.heise.de

[SiLæncer]

SUSEs Maintainer Andrea Arcangeli hat bereits im September 2004 einen Fix für das Problem angeboten, der aber aus unbekannten Gründen nicht in den allgemeinen Kernel aufgenommen wurde, wie Marcus Meissner vom Suse-Security-Team gegenüber heise Security erklärt. SUSE selbst hat den Fix jedoch eingepflegt, weshalb SUSE Linux Enterprise 9, 10 und 11 sowie openSUSE 11.1-11.3 seitdem nicht mehr auf diese Weise verwundbar sind.

Quelle : www.heise.de

[SiLæncer]

In vier neuen Linux-Versionen haben die Entwickler eine Sicherheitslücke geschlossen, bei der Angreifer über Fehler in der Speicherverwaltung Root-Rechte erlangen können. Reparierte Versionen sind bereits in den Repositories verschiedener Distributionen aufgetaucht, etwa von Ubuntu.

Reparaturen wurden in die Linux-Versionen 2.6.27.52, 2.6.32.20, 2.6.34.5 und 2.6.35.3  eingepflegt. Alle Versionen bringen Patches mit, die das sogenannte Guard-Page korrekt einsetzen. Damit wird für einen Mindestabstand zwischen Stack und weiteren Speicherbereichen gesorgt. Der Sigbus-Befehl, der bislang bei der fehlerhaften Überlagerung gesendet wurde und damit für einen Absturz sorgte, wurde ausgesetzt. Inzwischen sind reparierte Versionen des Linux-Kernels in den Repositories einiger Linux-Distributionen aufgetaucht, darunter Ubuntu.

Nächster Kernel mit i915-Reparaturen

Die bevorstehende Version 2.6.36 ist als zweiter Release Candidate veröffentlicht worden. Dabei sind etliche Reparaturen an dem DRM-Treiber für Intels i915-Chipsatz eingeflossen. Linus Torvalds zeigte sich nicht erfreut über den späten Zeitpunkt der Einreichung, sah sie aber als notwendig an. Zusätzlich flossen weitere Patches in den Quellcode ein, die hauptsächlich der Stabilisierung des neuen Kernels dienen sollen.

Quelle : www.golem.de

[SiLæncer]

Eine Schwachstelle im 32-Bit-Kompatibilitätsmodus des aktuellen Linux-Kernels (und vorhergehenden Versionen) für 64-Bit-Systeme lässt sich ausnutzen, um an höhere Rechte zu gelangen. Angreifer könnten dies beispielsweise nach einem Einbruch über eine Lücke im Webserver ausnutzen, um mit Root-Rechten das System vollständig unter ihre Kontrolle zu bekommen.

Ursache des Problems ist laut Bericht die fehlende Prüfung der 32-Bit-Call-Emulationsschicht, ob der angeforderte Aufruf auch wirklich in in der Syscall-Tabelle vorhanden ist. Nach Angaben des Entdeckers Ben Hawkes lässt sich dies ausnutzen, um eigenen Code mit Kernel-Rechten auszuführen. Ein Exploit kursiert bereits, der in einem kurzen Test der heise-Security-Redaktion auf einem 64-Bit-Ubuntu 10.04 eine Shell mit Root-Rechten öffnete.

Die Kernel-Entwickler haben den Fehler im Repository behoben, die Linux-Distributoren dürften in Kürze neue Kernel veröffentlichen, um die Lücke zu schließen. Bis dahin kann das Abschalten des 32-Bit-ELF-Supports schützen. sofern dieser nicht benötigt wird. Wie man das macht, ist hier beschrieben: Workaround for Ac1db1tch3z exploit.

Interessanterweise wurde die Lücke laut Hawkes bereits im Jahre 2007 entdeckt und auch geschlossen. Irgendwann im Jahre 2008 sollen die Kernelentwickler aber den Fix rückgängig gemacht haben, sodass der Kernel abermals verwundbar wurde. Der damalige Exploit soll nur wenige Anpassungen erfordert haben, um die Lücke nun wieder auszunutzen.

Quelle : www.heise.de

[SiLæncer]

Ein Fehler in der Implementierung des "Reliable Datagram Sockets"-Protokoll (RDS) im Linux-Kernel lässt sich ausnutzen, um an Root-Rechte zu gelangen. Angreifer können dies ausnutzen, um nach dem Einbruch in ein System über das Netzwerk die vollständige Kontrolle zu erlangen. Der Entdecker der Lücke Dan Rosenberg hat einen Exploit zu Demonstrationszwecken veröffentlicht; er öffnete im Test der heise-Security-Redaktion auf einem Ubuntu 10.04 (64 Bit) eine Root-Shell.

Betroffen sind die Kernel-Versionen 2.6.30 bis einschließlich 2.6.36-rc8. Die Linux-Entwickler haben im Git-Repository einen Patch eingepflegt, der das Problem behebt. Die Distributoren dürften in Kürze neue Kernel-Versionen veröffentlichen. Als Workaround empfiehlt Rosenberg, das Laden des Kernelmoduls zu verhindern: echo "alias net-pf-21 off" > /etc/modprobe.d/disable-rds (als Root). Die meisten Systeme sollten davon nicht beeinträchtigt werden, da sie das Protokoll ohnehin nie nutzen.

Kern des Problems im RDS-Protokoll ist laut Rosenberg, dass die dazugehörigen Kernelfunktionen beim Kopieren von Daten zwischen dem Kernelspeicher und dem Userspeicher angegebene Adressen nicht richtig prüfen. Auf diese Weise ist es für lokale Anwender möglich, für eine Socketsttruktur eine Basis-Adresse im Kernelbereich anzugeben. Mit bestimmten Socketaufrufen lässt sich dann Code in den Kernelspeicher schreiben und mit Kernel-Rechten starten.

Erst vor wenigen Tagen wurde eine Lücke im Loader der GNU-C-Bibliothek bekannt , mit der Angreifer ebenfalls ihre Rechte auf einem System ausweiten können.


Quelle : www.heise.de

[SiLæncer]

Auf der Sicherheits-Malingliste Full Disclosure präsentiert Dan Rosenberg ein kleines Demo-Programm, das mehrere Sicherheitslücken so geschickt kombiniert, dass es damit auf Linux-Systemen Root-Rechte erlangen kann.

Eigentlicher Auslöser ist ein von Nelson Elhage entdecktes Problem im Zusammenhang mit Thread-Verwaltung und Fehlerbehandlungs-Routinen des Kernels (CVE-2010-4258). So kann ein OOPS dazu führen, dass ein Anwender ein Null-Byte in den Speicherbereich des Kernels schreibt. Das kombiniert Rosenberg mit einer Reihe von Schwachstellen in der Implementierung des Econet Protokolls, die ebenfalls Nelson Elhage kürzlich gefunden hat.

Zwei davon (CVE-2010-3848, CVE-2010-3849) lassen sich nur ausnutzen, wenn bereits ein Administrator im System Econet-Interfaces konfiguriert hat. CVE-2010-3850 allerdings erlaubt es einem lokalen Anwender, genau das ohne Root-Rechte zu tun. Das erstaunliche daran: Obwohl Econet ein steinaltes Protokoll ist, das Acorn-Computer über spezielle Netzwerkkarten zur Kommunikation mit Datei- und Print-Servern nutzte, unterstützen auch viele aktuelle Kernel dessen Emulation per Default und ohne weiteres Zutun des Anwenders. So lud im Test von heise Security etwa ein Ubuntu 10.04 LTS "Lucid Lynx" ohne Murren den Econet-Treiber und präsentierte beim Ausführen des Demo-Exploits eine Root-Shell:

$ ./full-nelson

• Resolving kernel addresses...
• Resolved econet_ioctl to 0xffffffffa0b76510
• Resolved econet_ops to 0xffffffffa0b76600
• Resolved commit_creds to 0xffffffff8108aee0
• Resolved prepare_kernel_cred to 0xffffffff8108b2c0
• Calculating target...
• Triggering payload...
• Got root!

# id
uid=0(root) gid=0(root)

Rosenberg weist in seinen Kommentaren darauf hin, dass er den Exploit absichtlich so gestaltet hat, dass die meisten Standard-Systeme nicht gefährdet sind. So unterstützt Redhat per Default kein Econet und Ubuntu und Debian haben die ausgenutzten Econet-Lücken bereits gepatcht. Allerdings ließe sich deren Aufgabe einen Kernel-OOPS zu erzeugen, recht leicht durch andere Schwachstellen ersetzen, sodass eigentlich jeder Linux-Anwender betroffen sei. Redhat erklärt jedoch bereits, dass Red Hat Enterprise Linux 4, 5, 6, und Red Hat Enterprise MRG für CVE-2010-4258 nicht anfällig seien.

Quelle : www.heise.de

[SiLæncer]

Rafael Dominguez Vega von MRW InfoSecurity berichtet über einen Programmierfehler im Caiaq-USB-Treiber, über den ein USB-Gerät ein Linux-System kapern könnte.

Der Fehler besteht darin, dass der Gerätenamen ohne Längenprüfung via strcpy() in einen Speicherbereich mit einer Länge von 80 Bytes kopiert wird. Somit kann ein spezielles Gerät mit einem längeren Gerätenamen über die Grenzen dieses Puffers hinaus schreiben und damit Code einschleusen und ausführen. Da der Treiber in den meisten Linux-Distributionen enthalten ist und automatisch geladen wird, müsste ein Angreifer lediglich das Gerät an einen USB-Port des Linux-Systems anstecken, um dort eigenen Code im Kernel-Modus auszuführen.

MRW hat anscheinend sogar ein solches USB-Device zusammengebastelt und lästert in einem Tweet über "Linux plug&pwn". Der Spott trifft das Open-Source-System nicht ganz zu Unrecht – sind doch Pufferüberläufe auf Grund von strcpy() eigentlich ein Problem aus dem letzten Jahrtausend. So hat etwa Microsoft die Funktion bereits vor einigen Jahren auf die Liste der geächteten Funktionsaufrufe gesetzt; mit der Folge, dass Entwickler keinen Code mehr einchecken können, der die inkriminierte Funktion verwendet. Dass dieser Funktionsaufruf in einem Linux-Kernel-Treiber erst am 14.2.2011 durch das sicherere strlcpy() mit Längenprüfung ersetzt wurde, spricht nicht gerade für deren Qualität.

Doch um eine derartige Schwachstelle auszunutzen, benötigt man direkten Zugang zum Zielgerät. Trotz dieser Einschränkung sind sie offenbar sehr begehrt. So entwickelte etwa die amerikanische Sicherheitsfirma HBgary unter dem Codenamen Task B ein ganzes Framework für das Ausspionieren und Kompromittieren von Computern über Ports wie USB oder Firewire. Hauptabnehmer war der Rüstungskonzern General Dynamics, der wiederum US-Militär und -Geheimdienste in seiner Kundeliste führt. Anvisierter Preis: etwa 400.000 US-Dollar.

Ein GD-Angestellter erklärt in einer E-Mail zwei zentrale Einsatzszenarien: Ein Mann lässt sein gesperrtes Notebook kurzzeitig unbeaufsichtigt, was die Möglichkeit eröffnet, kurz ein Gerät anzustecken und wieder abzuziehen. Beim zweiten Szenario, wird das Zusatzgerät heimlich an den ausgeschalteten PC angesteckt, bleibt dort beim Einschalten hoffentlich unbemerkt und wird nach getaner Arbeit wieder abgeholt. In beiden Szenarien wird auch eine Festplattenkomplettverschlüsselung ausgetrickst, da der Zugriff in eingeschaltetem Zustand erfolgt, wo das System alle Dateien transparent entschlüsselt.

Quelle : http://www.heise.de/newsticker/meldung/Linux-via-USB-zu-kapern-1203501.html

[SiLæncer]

Linus Torvalds hat letzte Woche ein Linux-Kernel-Update veröffentlicht, das einen Fehler bei der Zugriffskontrolle auf Speicherabbilder beheben soll. Kurz darauf tauchten Exploits auf, die es ermöglichen, über diesen Fehler Root-Rechte zu erlangen.

Seit Kernel-Version 2.6.39 kann man auf das Speicherabbild jedes Prozesses via /proc/<pid>/mem zugreifen – und zwar auch schreibend. Die an dieser Stelle vorgesehenen Checks erwiesen sich jedoch als unzureichend und ließen sich leicht austricksen.

Kurz nach Erscheinen des erklärenden Artikels Nerdling Sapple tauchten auch prompt funktionierende Exploits im Netz auf. Sie manipulieren den virtuellen Arbeitsspreicher eines Setuid-Root-Programms wie su und verschaffen so einem normalen Benutzer eines Linux-Systems sofort Root-Rechte. Jay Freeman – als Saurik sonst eher im iPhone-Jailbreak-Umfeld bekannt – hat sogar eine Android-Version zusammen gehackt.

Der Exploit scheint zuverlässig zu funktionieren. In einem ersten Test von heise Security auf einem Ubuntu-System mit einem 3.0er-Kernel lieferte er sofort eine Root-Shell. Wann Torvalds' Update in die Mainstream-Kernel der Distributionen einfließen wird, ist bislang nicht bekannt.

Quelle : www.heise.de