News Zero-Day-Exploit: PwnKit-Schwachstelle erlaubt Root-Rechte unter Linux

[ModellbahnerTT]

In der Zwischenzeit haben alle relevanten Linux-Distributionen, wie Arch, Debian, Ubuntu, Fedora und SUSE, sowie deren Derivate ein entsprechendes Sicherheitsupdate erhalten, welches der Bedrohung durch PwnKit den Schrecken nimmt.

Manjaro hat noch kein Update erhalten im Gegensatz zu manjaro arm.

 

[AW4]

Manjaro hat noch kein Update erhalten im Gegensatz zu manjaro arm.

Ich hab die Headline hier auf CB ca. 15 min nach Veröffentlichung des Artikels gelesen.
Ein sofortiger Blick in den Paketmanager hat mir dann auch schon das Vorhandensein des relevanten Updates geliefert.

Hast dus vielleicht einfach übersehen und es ist schon installiert?

 

[SVΞN]

Manjaro x86_64 und ARM sollten wie Arch auch versorgt sein.

Ein sofortiger Blick in den Paketmanager hat mir dann auch schon das Vorhandensein des relevanten Updates geliefert.

+1

 

[foo_1337]

Mein Gott der Linux Kernel besteht aus Millionen von Zeilen, da finden sich ZeroDays für jeden, vor allen Dingen in den Gerätetreibern...

Hier ging es gar nicht um den Kernel.

fehlerfreie schon gar nicht und schon gar nicht in C.

Pauschalaussagen sind immer gut. Nur weil es viele in C verkacken, heißt das nicht, dass das pauschal ein Problem ist.

Genauso wie man beim Bauen von Autos oder der Herstellung von Halbleitern nicht bei "Null" anfängt, ist es ein dummer Plan, den Quellcode neu zu machen.

Es ist tatsächlich oft besser, den alten Mist über Bord zu werfen und etwas from scratch neu zu schreiben.
Die Jungs vom OpenBSD haben z.B. auch lieber sudo über Bord geworfen anstatt es nachhaltig zu fixen und was eigenes (doas(1)) geschrieben. Und das obwohl Todd C. Miller ein OpenBSDler ist und die Lizenz passte (was auch gerne mal der Grund ist).
Und im Falle von polkit bzw. pkexec kann man sich ernsthaft die Frage stellen, ob man das nicht komplett über Bord werfen mag.

 

[psyabit]

Man merkt das die Zeit von digitalen Massenvernichtungswaffen kommt.
Wieder ein Zero-Day.
Erst QNAP , jetzt Linux.

Cyberattacken müssen international geächtet werden.

Die USA will nicht. Versuchet Russland schon länger an zu stossen…

 

[ModellbahnerTT]

Hast dus vielleicht einfach übersehen und es ist schon installiert?

Genauso ist es auch.

Manjaro x86_64 und ARM sollten wie Arch auch versorgt sein.

Bei ARM habe ich es gesehen und bei x86_64 ist es mir durch die Lappen gegangen.

 

[madmax2010]

Fuzzing ist lediglich ein weiteres Werkzeug im Werkzeugkasten, um das Qualitätsniveau von Code potentiell anzuheben.

Manjaro hat noch kein Update erhalten im Gegensatz zu manjaro arm.

direkt am sellben tag. alle Arch distros.

 

[rgbs]

Es ist tatsächlich oft besser, den alten Mist über Bord zu werfen und etwas from scratch neu zu schreiben.
Die Jungs vom OpenBSD haben z.B. auch lieber sudo über Bord geworfen anstatt es nachhaltig zu fixen und was eigenes (doas(1)) geschrieben.

Wenn doas wirklich besser wäre, hätte es sich ja in allen gängigen Linux Distributionen durchgesetzt.
Ähnlich ist es mit wayland.
xserver klappt halt bei Anwendungen wie remmina und virtualbox zur Zeit noch problemloser.

Gruß
R.G.

 

[Cool Master]

@rgbs

Deswegen schreibt er ja "oft besser" und das stimmt. Wenn ein Projekt über Jahre läuft entwickelt man sich ja auch weiter. Ich habe auch noch Code von vor 10 Jahre wo ich mir heute denke was habe ich mir damals gedacht? Klar der Code läuft aber er ist bei weitem nicht so schön wie es sein könnte. Ich kann es also vollkommen nachvollziehen wenn man ein Cut macht und neu beginnt. Das Problem ist, dass nicht alle Leute so denken sondern sie denken "es läuft ja" und "never change a running system" was völliger Blödsinn ist. Nur weil es was läuft muss es nicht gut sein vor allem was Effizienz angeht.

Gutes Beispiel war erst neulich eine CSS Datei die ich vor 8 Jahren oder so erstellt habe. Das waren ca. 10k Zeilen nun sind es 1338 (ja es ärgert mich auch ).

 

[andy_m4]

Genauso wie man beim Bauen von Autos oder der Herstellung von Halbleitern nicht bei "Null" anfängt, ist es ein dummer Plan, den Quellcode neu zu machen.

Kommt natürlich darauf an. Am besten ist natürlich, man lässt es erst gar nicht ausarten. Wenn man regelmäßig dran ist macht es natürlich kein Sinn alles wegzuwerfen und neu zu machen.
Viele Projekte haben aber das Problem, das die interne "Entropie" schon so weit angewachsen ist das ein ordnen so viel Aufwand wäre, das es weniger kostet es einfach neu zu machen. Und das selbst die Pflege und Weiterführung Schmerzen verursacht (so das man eben auch nicht sagen kann, man lässt es einfach so.
Ein hübsches Beispiel dafür ist X.org.

Und manchmal trifft man ja auch bestimmte Designentscheidungen die sich im Nachhinein erst als ungeeignet herausstellen (weil sich auch Bedingungen geändert haben oder der Einsatz in der Praxis doch ein ganz anderer ist. Sowas lässt sich häufig auch nicht einfach so fixen und benötigt dann auch zahlreiche Umbauten das auch da man eher beschließt: Machen wir neu.

Bei Null fängt man da übrigens nicht an. Denn man hat ja Know-How aufgebaut und weiß zumindest schon mal, wie man es nicht machen sollte. Von daher passt der Vergleich ohnehin nicht.

Die Jungs vom OpenBSD haben z.B. auch lieber sudo über Bord geworfen anstatt es nachhaltig zu fixen und was eigenes (doas(1)) geschrieben.

Was auch für viele Fälle eine super Alternative zu sudo ist. Ich frag mich ohnehin, warum die gängigen Distributionen das nicht per default einsetzen. So wie die sudo verwenden könnten die das auch problemlos mit doas erschlagen.

Und im Falle von polkit bzw. pkexec kann man sich ernsthaft die Frage stellen, ob man das nicht komplett über Bord werfen mag.

Und wenn sie sowieso schon mal knietief in der Klärgrube überkomplexer Technologien stehen und da den PolKit-Klumpen rausfischen wollen, könnten wir uns auch gleich überlegen, die komplett leerzupumpen. :-)

Wenn doas wirklich besser wäre

Der Quelltextumfang mit allem pipapo liegt bei sudo bei rund 10 MB
Bei doas bei deutlich unter 200 kb
Man muss sagen: sudo kann mehr. Aber von diesem "mehr können" wird i.d.R. gar keinen Gebrauch gemacht. Die typischen Anwendungsfälle a-la "will schnell mal root werden um xyz auszuführen" kannst du mit doas genauso erschlagen.

hätte es sich ja in allen gängigen Linux Distributionen durchgesetzt.

Wenn wir in den letzten 100 Jahren Technikgeschichte eines gelernt haben, dann das sich immer das durchsetzt, was am besten ist.

 

[rgbs]

Ich kann es also vollkommen nachvollziehen wenn man ein Cut macht und neu beginnt

Und fängst Du dann wirklich bei einem weißen Blatt an, oder schaust Du auch beim Vorhandenen nach und verbesserst es entsprechend?

Wenn wir in den letzten 100 Jahren Technikgeschichte eines gelernt haben, dann das sich immer das durchsetzt, was am besten ist.

Es hat sich das durchgesetzt, was die meisten haben wollten.
Denn wie soll man denn bei Technik sonst "am Besten" definieren wenn man nicht größenwahnsinnig ist.

Gruß
R.G.

 

[trendliner]

Ich möchte hier @ComputerBase, @SV3N und auch die Community mal wirklich loben!

Dem kann ich mich nur anschließen. 👍

 

[andy_m4]

Und fängst Du dann wirklich bei einem weißen Blatt an, oder schaust Du auch beim Vorhandenen nach und verbesserst es entsprechend?

Die Frage hab ich doch bereits beantwortet. Man beginnt nicht bei Null. Ergo hat man auch kein weißes Blatt.

Es hat sich das durchgesetzt, was die meisten haben wollten.

Das unterstellt jetzt, das alle (oder zumindest die meisten) sowohl sudo als auch doas kennen, aber unbedingt sudo haben wollen und deshalb benutzen das die Distributionen.
Merkst selbst, oder?

 

[Termy]

ne aber in ernst, schön das ihr auch über Linux Lücken berichtet, wäre auch mal schön zu sehen eine Statistik Sicherheitslücken vs. Verbreitung, um solchen Leuten einfach mal alle Argumenteationsgrundlagen zu entziehen, das z.B. Windows wesentlich lückenhafter ist als Linux etc. was nur Aufgrund der Verbreitung ja der Fall ist.

Die Häufigkeit von Lücken ist ja nur ein Teil der Betrachtung - und noch nichtmal der wichtigste in meinen Augen.
Wichtig ist, wie damit umgegangen wird. Und gerade in der Hinsicht bekleckert sich Microsoft eben nicht grade mit Ruhm. Bei Linux ist in aller Regel schon ein Fix verfügbar, wenn die Lücke veröffentlicht wird. Bei Windows-Lücken reagiert MS teils erst wenn die Karenzzeit vorbei ist und der Lückenfinder auch ohne Fix an die Öffentlichkeit geht - mal von den häufigen negativen Nebenwirkungen der Fixes ganz abgesehen.

 

[rgbs]

Wenn wir in den letzten 100 Jahren Technikgeschichte eines gelernt haben, dann das sich immer das durchsetzt, was am besten ist.

Was sudo und doas mit Technikgeschichte zu tun haben, weist nur Du allein.
Ich ging halt bei meiner Antwort davon aus, dass Du das globaler meinst.
Aber um es für schlichtere Menschen nochmal speziell zu sagen, wenn sudo wirklich so mies wäre, würde es niemand haben wollen.
Dank www verbreitet sich so etwas heutzutage ja recht zügig.
Folglich würden es dann gängige Distributionen auch nicht mehr verwenden.

Gruß
R.G.

 

[foo_1337]

Aber um es für schlichtere Menschen nochmal speziell zu sagen, wenn sudo wirklich so mies wäre, würde es niemand haben wollen.

Well, screen ist auch mies uns dennoch benutzen es sehr viele, obwohl es tmux gibt.
Bash ist auch mies und dennoch benutzen sie sehr viele, obwohl es die zsh gibt.
Usw.
Sudo soll nutzen wer will aber am Ende nicht rumweinen wenn er wieder X Kisten Patchen muss. Es ist nur eine Frage der Zeit. Ich war sehr lange exim Fan aber mittlerweile kann man den leider auch nicht mehr guten gewissens einsetzen.
Aber nett, dass du auf deinem hohen Ross sitzt und andere, die vermutlich "etwas" mehr Real-World Erfahrung haben als du selbst als "schlichtere" Menschen bezeichnest.

Folglich würden es dann gängige Distributionen auch nicht mehr verwenden.

Das hat damit doch nix zu tun. Wenn es danach ginge, müssten auch diverse anderen Dinge raus. Aber zumindest Debian und Arch installieren by default kein sudo.
Das Problem für die Linux Distributoren bei doas ist, dass es nicht wie bei openssh eine offizielle portable Version gibt und damit die Maintanance unklar ist.
Und das Problem, welches sudo hat, kannst du eindeutig hier sehen: https://www.sudo.ws/security/advisories/

Lies dir einfach den Code zu doas durch und dann weißt du, wieso sowas mit doas nicht passieren kann: https://github.com/openbsd/src/blob/master/usr.bin/doas/doas.c
Übrigens ein Beispiel für sehr guten C Code, dessen Existenz ja hier im Thread auch schon angezweifelt wurde
Sudo hat über 220Tausend(!) Lines of Code und wird von einem Maintainer gepflegt. Und für 99.9% aller Fälle reicht die Funktionalität von doas aus.

 

[rgbs]

Und das Problem, welches sudo hat, kannst du eindeutig hier sehen:

"A serious heap-based buffer overflow has been discovered in sudo that is exploitable by any local user. It has been given the name Baron Samedit by its discoverer. The bug can be leveraged to elevate privileges to root, even if the user is not listed in the sudoers file. User authentication is not required to exploit the bug. Sudo versions affected: Sudo versions 1.7.7 through 1.7.10p9, 1.8.2 through 1. "

Mal abgesehen davon, dass dieses "Riesenproblem" schon ein Jahr alt ist und wahrscheinlich schon längst gefixt ist, es betrifft "local user".
Also wenn ich den Menschen, die physischen Zugriff auf meine Rechner haben, nicht vertrauen kann, habe ich doch eh schon verloren.

Gruß
R.G.

 

[foo_1337]

Mal abgesehen davon, dass dieses "Riesenproblem" schon ein Jahr alt ist und wahrscheinlich schon längst gefixt ist, es betrifft "local user".
Also wenn ich den Menschen, die physischen Zugriff auf meine Rechner haben, nicht vertrauen kann, habe ich doch eh schon verloren.

War mir klar, dass du die Tragweite nicht einschätzen kannst. Diese Polkit Geschichte hier ist übrigens auch "nur" eine lokale.
Kleiner Tipp: Linux wird nicht nur auf Standalone Desktops eingesetzt. Und nein, man benötigt keinen physischen Zugriff dafür.

 

[rgbs]

Kleiner Tipp: Linux wird nicht nur auf Standalone Desktops eingesetzt.

Ach tatsächlich, selbst meine Rechner sind per Netzwerk verbunden.
Und dann ja auch noch mit dem www.
Sonst könnte ich ja hier nichts von den ein Jahr alten massiven Bedrohungen lesen.
Und um es nochmal klar zu stellen, ich sehe das immer noch so:
Einem geschenkten Gaul schaut man nicht ins Maul.
Man bekommt Linux geschenkt, kann wenn man möchte mitarbeiten oder das Ganze mit Spenden unterstützen.
Und dann kommen ganz Schlaue welche das Haar in der Suppe suchen.
Finde ich einfach nur zum Ko**en.

Gruß
R.G.

 

[foo_1337]

Du verstehst die Problematik leider überhaupt nicht. Es geht nicht darum, ob irgendwelche Rechner mit irgendwelchen Netzen verbunden sind, sondern dass es Multiuser Systeme gibt. Und Unix und dessen Ableger Linux ist eben schon immer ein Multiuser System. Auf Servern laufen Prozesse üblicherweise mit unpriviligierten Usern um weitere Schäden im Falle von Lücken zu verhindern. Und genau mit Lücken wie dieser hier oder der in sudo, kommt man eben auch mit einem unpriviligierten User Root rechte.
Auch will ich nicht, dass andere User, die auf meinen Kisten einen Shellaccount haben, Rootrechte bekommen.
Was du leider auch nicht verstehst: Es geht hier nicht um "Linux". Es geht nicht um Open Source und es geht nicht darum, das Haar in der Suppe zu suchen. Wir reden hier über zu komplexe Software und Fehler, die beim C Coding entstehen können und wie man diese z.B. anderweitig mitigieren kann ohne sich auf den Entwickler verlassen zu müssen.
Was ich zum Ko**en finde: Du unterstellst hier anderen, dass sie "einfach" gestrickt sind, obwohl du weder das Schadenspotential noch den Diskussionskontext verstanden hast. Diskutiere doch einfach nicht mit, wenn du es nicht verstehst, aber höre auf, andere zu Beleidigen oder Dinge zu Unterstellen, die sie nie gesagt haben. Wenn du GNU/Linux als Desktop verwendest, ist das fein. Andere machen halt deutlich mehr damit und für die ist sowas relevant. Und die kennen eben auch die Patchorgien, wenn man wegen solch einer Lücke plötzlich tausende Kisten patchen muss. In dem Fall glücklicherweise ohne Reboot.