News Linux-Bug: Lokale Rechteausweitung im Kernel publiziert

[fethomm]

Die Sicherheitsfirma Perception Point hat jetzt einen Kernel-Bug publiziert, den Forscher des Unternehmens unlängst entdeckt hatten. Die Lücke besteht bereits seit Kernel 3.8 aus dem Jahr 2012 und könnte sich vor allem für Android-Geräte als gefährlich erweisen.

Zur News: Linux-Bug: Lokale Rechteausweitung im Kernel publiziert

 

[blackshuck]

ja mei......software hat lücken, lücken werden gefixt, andere lücken gefunden, ........naja ich geb mein handy jedenfalls jetzt erstmal nicht irgendwelchen leuten. hab ich zwar eh noch nie gemacht, aber....

 

[Sensei21]

Mal nachschauen, ob SMAP und SMEP in der Kernel Config aktiviert sind - wenn nicht, ist es jetzt höchste Eisenbahn !


in dem Sinne erwähne ich mal grsecurity und deren Funktion uderef:

https://grsecurity.net/~spender/uderef.txt

das soll potentiell noch mehr Schutz als SMEP/SMAP bieten

https://grsecurity.net/
https://en.wikipedia.org/wiki/Grsecurity
http://www.admin-magazin.de/Das-Heft/2012/04/Systemsicherheit-erhoehen-mit-Grsecurity

 

[SHEG]

Gerade kam auch für Ubuntu 14.04 ein Kern-Update. Ob dies damit zusammenhängt?

 

[Cr4y]

Wieso benötigt man physischen Zugriff auf das Gerät? Welcher Teil der Attacke kann man denn nicht durch Software erledigen oder einem unbedarften User überlassen ("bitte geben Sie unserer taschenlampen app volle systemrechte")?

 

[NoXPhasma]

Das gelingt aber nur mit physischen Zugriff auf das entsprechende Gerät.

Man benötigt keinen physischen Zugriff, keine Ahnung wo fethomm das her hat. Sobald man eingeloggt ist, kann man diese Lücke ausnutzen. Das gilt für jede Software die per Userrechte ausgeführt wird, also zB der Browser. Genau deswegen wurde diese Lücke auch als Kritisch eingestuft.

 

[joomoo]

Wieso benötigt man physischen Zugriff auf das Gerät? Welcher Teil der Attacke kann man denn nicht durch Software erledigen oder einem unbedarften User überlassen ("bitte geben Sie unserer taschenlampen app volle systemrechte")?

Wahrscheinlich weil Apps nicht mit vollen Rechten ausgeführt werden und man bei Android USB-Debugging aktivieren muss, um die Lücke auszunutzen.

 

[Piktogramm]

Gerade kam auch für Ubuntu 14.04 ein Kern-Update. Ob dies damit zusammenhängt?

ja

Edit: Changelog:
http://changelogs.ubuntu.com/change.../linux-lts-wily_4.2.0-25.30~14.04.1/changelog

 

[Jesterfox]

ja

Ah, danke. hatte mich schon gewundert dass der patch wohl erst noch kommen soll (die News an anderer Stelle las sich so) mir aber mein Server gerade jetzt ein Update anbiete. Meiner läuft zwar mit dem Utopic Kernel (das Changelog ist for Wiley), aber ich denk mal die haben das für alle gefixt die supported werden.

 

[mambokurt]

Wieso benötigt man physischen Zugriff auf das Gerät? Welcher Teil der Attacke kann man denn nicht durch Software erledigen oder einem unbedarften User überlassen ("bitte geben Sie unserer taschenlampen app volle systemrechte")?

Braucht man nicht. Und sowas wie 'physischer Zugriff' ist ein absolutes Märchen. Wenn es sich bei der Sicherheitslücke darum dreht etwas aus dem Rechner auszubauen, dann brauchst du physischen Zugriff. Oder wenn der Rechner in einem Tresor steht. Ansonsten ist der Rechner zu 99% vernetzt und auch angreifbar. Man muss halt nur wissen, dass für eine Rechteeskalation erstmal bestimmte Rechte da sein müssen. Wer seinen Browser unterm normalen User ausführt -> selbst schuld.

 

[Grantig]

Falls jemand den Exploit selbst ausprobieren will, die Jungs von Perception Point haben den Sourcecode veröffentlicht: https://gist.github.com/PerceptionPointTeam/18b1e86d1c0f8531ff8f
Wenns klappt bekommt man am Ende ne rootshell (dauert aber ein bisschen)

Btw falls es wen interessiert, der Manjaro default kernel wurde bereits gepatcht: https://manjaro.github.io/Update-2016-01-19_(stable)/
Patches für andere noch unterstützte kernel kommen auch bald.
Hier gibts ne Übersicht was bereits gepatcht ist und was nicht: https://github.com/manjaro/packages-core/issues/28


Edit: und danke an fethomm für die News

 

[Toxicity]

Ja unter Arch Linux wurden die Kernel auch schon gepatcht (https://projects.archlinux.org/svnt...x&id=da296168818200e72ba3b48b6ea1552a2052932d).
Nur der Vanilla Kernel wurde noch nicht gepatcht.

 

[Piktogramm]

@Jesterfox

14.10 und 15.10 sind mittlerweile beide auf Kernelversion 4.2 und das Changelog ist entsprechend identisch.

 

[Jesterfox]

Die 14.04 LTS wird nicht automatisch hochgezogen, normalerweise bleibt die auf der alten Kernelversion. Den Update auf den 14.10er Kernel (3.16) hab ich händisch gemacht weil ich Probleme mit KVM hatte. Aber der hat auch ein Security-Update bekommen, von daher geh ich mal davon aus dass es auch dort gefixt wurde (könnt ja mal das Changelog dazu suchen...)


Edit: jepp, das war auch der Update für den Keyring

 

[Sensei21]

Welche Kernel Konfigurations-Option is eigentlich betroffen, wenn man seinen Kernel selber backt ?

IMA_TRUSTED_KEYRING [=n]
PERSISTENT_KEYRINGS [=n]
SYSTEM_TRUSTED_KEYRING [=n]

zcat /proc/config.gz | grep -i keyring
# CONFIG_PERSISTENT_KEYRINGS is not set
# CONFIG_SYSTEM_TRUSTED_KEYRING is not set

also ... nicht betroffen ?


Keyrings waren mit schon immer suspekt ...


edit:

als nächstes wird wohl wieder ein Problem mit BPF gemeldet werden - im letzten Jahr (oder den letzten Jahren) gab es ja schon einige DoS Fixes