News Zero-Day-Exploit: PwnKit-Schwachstelle erlaubt Root-Rechte unter Linux

[kiffmet]

@bad_sign
Router verwenden für gewöhnlich kein polkit. Android Smartphones sind wahrscheinlich betroffen, aber den Bug auszunutzen zu können, ist durch SELinux erschwert und setzt ein Einfallstor, wie eine Lücke im Webbrowser oder eine bösartige App voraus. Wer kein Sideloading betreibt, müsste eig. nichts befürchten.

@Drewkev
Bei einem Programm, welches erweiterte Zugriffsrechte verteilen kann, wäre es eigentlich zu erwarten, dass das gemacht wird, ja.
Bei mir auf der Uni hat uns der Prof schon im ersten Programmierkurs eingetrichtert, dass alle Eingaben zu überprüfen sind und Nutzern nicht zu vertrauen ist. Auch mit Escapesequenzen oder einer fetten Binärdatei, welche über die Standardeingabe eingespeist wird, muss man rechnen.

 

[Jesterfox]

Polkit hat doch erstmal goanix mit ner GUI zu tun, sondern ist eher ein Schritt weg von "Nutzer mit Adminrechten" zu "Nutzer darf manche Dinge tun" und das wird über Gruppen verwaltet.

Es hat dahingehend was mit der GUI zu tun das X (weiß nicht wie es mit Wayland aussieht) schon länger per Default keine Programme anzeigt die mit fremden User (also auch root) laufen. Daher hat man sich einen Weg gesucht dass die Programme als User laufen und nur für den kritischen Bereich sich die root-Rechte holen.

 

[Drewkev]

@Jesterfox
Das kann nicht stimmen. Ich meine ja, es läuft als User, aber wenn man per sudo etwas aufruft, läuft es.
Unter Wayland vielleicht nicht, aber unter X sehr wohl.

 

[Jesterfox]

Also ich hatte damit schon öfter Probleme dass per sudo gestartete Programme keine Verbindung zum X-Server aufbauen können weil ne Policy das verhindert.

 

[Drewkev]

Wenn man sudo keine Umgebungsvariablen mitnehmen lässt, natürlich nicht You know, what i mean?

 

[Jesterfox]

Nach dem was ich bisher drüber gelesen hab ist das ne Policy vom X-Server, die man wohl aber auch ändern kann.

 

[Drewkev]

Das ist hier halt auch einfach nicht der Standard. Das ist wie, als würdest du unter Windows kein Programm mit GUI als Admin ausführen können, wenn du nicht als "Administrator" eingeloggt bist.

 

[Jesterfox]

Zumindest ne Zeit lang war es das, ist aber auch glaub schon ein paar Jahre her... aber da war das irgendwie der Default bei den Distris (hauptsächlich Kubuntu was ich getestet hab, aber auch Mint). Möglicherweise ist man davon wieder abgerückt oder ich hatte das Pech genau die Distris zu verwenden die das als Default hatten... bin da jedenfalls n paar mal drüber gestolpert.

 

[Drewkev]

Das klingt stark nach Fedora

 

[ikarusx3]

Auch unter Ubuntu 16.04 mit ESM:

Spoiler

Start-Date: 2022-01-26  06:33:41
Commandline: /usr/bin/unattended-upgrade
Upgrade: policykit-1:amd64 (0.105-14.1ubuntu0.5, 0.105-14.1ubuntu0.5+esm1)
End-Date: 2022-01-26  06:33:42

 

[Orionatus]

Vielen Dank für die Info, Update von Ubuntu 20.04 hat problemlos geklappt 👍

 

[flaphoschi]

Cyberattacken müssen international geächtet werden.

Ich hoffe das ist Ironie. Bitte nicht “Herumcybern”

Sicherheitsprobleme müssen gefunden und systematisch behoben werden. Kritische Infrastruktur hängt man nicht ans Netz (hier kein direktes Problem) und lässt nur befugten Personen Zugriff (hier Problem, falls unbefugt).

Den Begriff “Cyber” gibt es in der Informatik nicht. Nichtmal die Wikipedia kann den Begriff - wohl eine freie Erfindung der Romanliteratur - mit der Informatik verbinden. Die einzigen die Herumcybern sind Politiker, alle paar Jahre wenn die Vernachlässigung der IT-Sicherheit wieder interessanter wird. Zumindest ist es als Red Flag ein Indikator. Sobald wer “Herumcybert”, “Zurückcybert” oder eine “Cyberwehr” haben möchte ist Gefahr in Verzug.

Geächtet gehören Leute, die Sicherheitslücken nicht melden. Danke also.

 

[andy_m4]

Warum eigentlich Polkit, wenn es doch sudo gibt?

PolKit erlaubt eine wesentlich feingranulierte Rechtevergabe. sudo wirkt immer auf einen ganzen Prozess. Da kannst Du also nicht sagen: "Führe mein Programm als normaler Benutzer aus aber für das speichern einer Datei fordere temporär root-Rechte an."

Prinzipiell hast Du natürlich das Problem, das PolKit komplexer ist und damit auch die Chance von Bugs und damit Sicherheitslücken höher ist. Allerdings hast Du das Problem auch schon bei sudo. Auch das ist komplexer als für die meisten Situationen nötig (dementsprechend sieht man auch hier ab und an mal Sicherheitslücken).
Wem Sicherheit durch Komplexitätsreduktion erreichen möchte (was prinzipiell ein guter Weg ist), sollte auch auf sudo möglichst verzichten und stattdessen beispielsweise doas einsetzen.

 

[Drewkev]

Wem Sicherheit durch Komplexitätsreduktion erreichen möchte (was prinzipiell ein guter Weg ist), sollte auch auf sudo möglichst verzichten und stattdessen beispielsweise doas einsetzen.

Ja. Ich würde das wirklich gerne machen. Aber doas ist unter Linux einfach noch nicht gut unterstützt, leider.

 

[Jesterfox]

Diese einzelne Anforderung de Root-Rechte hat schon ihre Vorteile. Also zumindest wenn man etwas Richtung User-Freundlichkeit geht. Ein Programm erst mal als User starten zu können, dann aber bei bestimmten Optionen die man setzen kann die root rechte einzufordern weil sie notwendig sind ist halt bequem. Den User aufzufordern irgendwas extra per "su" zu machen eher weniger... das Programm komplett als root zu starten ist auch nicht der beste Plan...

 

[Drewkev]

Das Problem ist, dass PolicyKit einfach genau das Ding ist, was immer als Root läuft. IMMER. So wie sudo, so wie su. Die Binaries sind IMMER root.

Wenn die also was falsch machen, kriegt jemand root, der es gar nicht sollte.

 

[Jesterfox]

Wenn der Kernel was falsch macht ist das auch n Problem...

Aber ich weiß schon... wenn ein System nicht durch hunderte von Terminalbefehlen abgesichert ist dann ist das nicht UUNNIIXX!!!

 

[Drewkev]

Wenn der Kernel was falsch macht ist das auch n Problem...

Haben wir bereits:
https://ebpf.io/

Darf mehr als es soll(te) -> Schwachstelle für Rootkits (Hooks im Kernel selbst, die Malware verstecken)

 

[.Ake]

Cyberattacken müssen international geächtet werden.

Ha! Der war gut. Wo fangen wir an? Vielleicht damit:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Hannibal Smith]

Dann haben die faulen Linux Admins auch mal was zu tun duck und weg

Auf meinen Systemen natürlich auch direkt aktualisiert