News Zero-Day-Exploit: PwnKit-Schwachstelle erlaubt Root-Rechte unter Linux

rgbs schrieb:
Und fängst Du dann wirklich bei einem weißen Blatt an, oder schaust Du auch beim Vorhandenen nach und verbesserst es entsprechend?

Kommt auf die Situation an. In dem Fall mit dem CSS war es bei 0 anfangen weil in dem Projekt noch mit IDs statt Klassen gearbeitet wurde. Hätte man die IDs weiter nutzen können? Ja aber das wäre mehr Aufwand gewesen als bei 0 anfangen. Dazu kommt das Projekt hat nun ein einheitlichen Standard und kann ohne Probleme erweitert werden in dem Sachen vererbt werden.

Ob man bei 0 anfängt oder auf eine Basis zurück greift muss man also je nach Vorhaben abschätzen. In der Regel ist es aber einfacher bei 0 anzufangen da man dort auf nichts Rücksicht nehmen muss sondern sein erlerntes Wissen aus den Jahren voll anwenden kann und sich ggf. an neue Standards wenden kann.
 
foo_1337 schrieb:
Auch will ich nicht, dass andere User, die auf meinen Kisten einen Shellaccount haben, Rootrechte bekommen.
Was du leider auch nicht verstehst: Es geht hier nicht um "Linux". Es geht nicht um Open Source und es geht nicht darum, das Haar in der Suppe zu suchen. Wir reden hier über zu komplexe Software und Fehler, die beim C Coding entstehen können und wie man diese z.B. anderweitig mitigieren kann ohne sich auf den Entwickler verlassen zu müssen.
Neben Deinem "Geschwubbel" über Unix, die entsprechenden Kurse hatte ich schon vor Jahren bei AEG Konstanz, wenn Du Fehler anderer beim Schreiben von C Code vermeiden willst, musst Du es halt selbst machen oder mit den entsprechenden Entwicklern zusammen arbeiten.

Gruß
R.G.
 
Robert. schrieb:
Man merkt das die Zeit von digitalen Massenvernichtungswaffen kommt.
Wieder ein Zero-Day.
Erst QNAP , jetzt Linux.

Cyberattacken müssen international geächtet werden.
naja scheint das die Lücke seit 12 Jahren besteht. da wundert mich nix mehr

Die Websites ZDNet und TechRepublic haben die Geschehnisse rund um die seit mehr als 12 Jahren bekannte Sicherheitslücke noch einmal im Detail beleuchtet.
 
Termy schrieb:
Wichtig ist, wie damit umgegangen wird. Und gerade in der Hinsicht bekleckert sich Microsoft eben nicht grade mit Ruhm. Bei Linux ist in aller Regel schon ein Fix verfügbar, wenn die Lücke veröffentlicht wird. Bei Windows-Lücken reagiert MS teils erst wenn die Karenzzeit vorbei ist und der Lückenfinder auch ohne Fix an die Öffentlichkeit geht - mal von den häufigen negativen Nebenwirkungen der Fixes ganz abgesehen.

nun die Lücke scheint schon 10 Jahre bekannt und ungefixt zu sein .... so lange lässt sich nicht mal Apple Zeit um die Lücken in der Safari Engine zu stopfen, wenn die nicht aktiv ausgenutzt werden

Und du sprichst hier auch genau das Thema an, was bei MS wohl dafür verantwortlich ist, das das Lücken fixen immer sich so lange hinzieht -> Negative Auswirkungen!
Die Fixes werden ausgibig getestet und nur wenn es keine Folgen hat sofort ausgerollt. Ansonsten je nach den Auswirkungen.

Denn das Jammern ist dann immer groß, wenn die Leute die negative Auswirkungen verspüren, ohne das Leidensdruck durch eine offene und ausgenutzte Lücke da ist.

Siehe der letzte offizelle Access Fix, der Probleme bei Netzlaufwerken mit sich bringt, so das nur noch 1 User auf die DB zugreifen kann gleichzeitig. Für das Problem gibt es zwar nen Fix, was aber wieder ne Lücke reißt.

@godapol

zuuuu spääät mit dem Troll ^^
 
Zuletzt bearbeitet:
Sebbi schrieb:
nun die Lücke scheint schon 10 Jahre bekannt und ungefixt zu sein ....
Warst du es nicht, der damals bei der log4j Lücke auch sagte, dass das schon länger bekannt sei? Es war aber damals eine in log4j1.x und der Vektor war ein anderer als bei der im Dez. aktuellen.
Und hier ist die Lücke zwar seit 2009 vorhanden aber sie ist nicht seitdem bekannt. Man kann also wohl niemandem vorwerfen, nicht vorher gepatched zu haben.
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: Termy
Sebbi schrieb:
nun die Lücke scheint schon 10 Jahre ungefixt zu sein .... so lange lässt sich nicht mal Apple Zeit um die Lücken in der Safari Engine zu stopfen.
Entscheided für die Einschätzung der Reaktionszeit ist nicht das Vorhandensein der Lücke, sondern die Kenntnis derselben ;)
 
  • Gefällt mir
Reaktionen: foo_1337
foo_1337 schrieb:
Warst du es nicht, der damals bei der log4j Lücke auch sagte, dass das schon länger bekannt sei?



Termy schrieb:
sondern die Kenntnis derselben

wie oben geschrieben min. 10 jahre bekannt, im Artikelupdate sogar 12 Jahre!
 
Sebbi schrieb:
bekannt, im Artikelupdate sogar 12 Jahre!
Das bezieht sich auf der Verhalten des Kernels bei leerem Argument, jetzt wurde eben ein tatsächlicher Angriffspunkt dafür in Sudo gefunden...
 
Sebbi schrieb:
Dann sorry für den falschen Verdacht.

Sebbi schrieb:
wie oben geschrieben min. 10 jahre bekannt, im Artikelupdate sogar 12 Jahre!
Das ist leider sehr unglücklich formuliert und sollte von @SV3N nochmals korrigiert werden. Korrekt wäre: Vorhanden. Aus den beiden Quellen auf die der Artikel sicht bezieht:
This vulnerability, which has been hiding in plain sight for 12+ years, is a problem with how pkexec reads environmental variables.
Der Text ist übrigens 1:1 von Qualys übernommen. Fun Fact: Qualys hat die Lücke entdeckt. Am 25.01.2022. Und nicht vor 12 Jahren :)
 
Und?
es gab eine Lücke, welche ja reichlich ausgenutzt wurde. Oder eher nicht ??
Das bezeichne ich als "Fun Fact".

Gruß
R.G.
 
Sebbi schrieb:
2013 wären immer noch mindestens 8 Jahre, es beschreibt zumindest das fehlerhafte Verhalten. Und da fehlerhaftes Verhalten auch zu Sicherheitslücken führen kann, ist das der Zeitpunkt, zu der Lücke bekannt wurde
Nun müsste man den Blog Autor Fragen, wieviele Zugriffe er auf seinen Blog hat. Wenn das wenige sind, würde ich hier nicht unbedingt von "Bekannt" sprechen.
"Bekannt" wäre, wenn er damals die Polkit entwickler informiert hätte. Das hat er aber nicht getan. Bzw. er wollte es tun, die Mail wurde aber vermutlich gebounced: https://mobile.twitter.com/ryiron/status/1486207465918468097 Denn in den ML Archiven taucht sie nicht auf. Dumm gelaufen würde ich sagen.
 
Robert. schrieb:
Man merkt das die Zeit von digitalen Massenvernichtungswaffen kommt.
Wieder ein Zero-Day.
Erst QNAP , jetzt Linux.

Cyberattacken müssen international geächtet werden.
Naja aufm Client atmet man da tief durch die Hose ein und lacht das weg, auf Servern wirds das eher nicht geben. Von daher bin ich da entspannt, das zieht das Autoupdate gerade :)
 
Nun ja,
für Menschen, die wie @foo_1337 den hochkomplexen C Code "zu Fuß" verwalten mag das ja ein Problem sein.
Ich sehe das Ganze auch eher recht gelassen.

Gruß
R.G.
 
rgbs schrieb:
Nun ja,
für Menschen, die wie @foo_1337 den hochkomplexen C Code "zu Fuß" verwalten mag das ja ein Problem sein.
Ich sehe das Ganze auch eher recht gelassen.
Ich weiß langsam nicht mehr was ich dazu sagen soll. Nimm z.B. eine Kiste an der Uni auf die unzählige Studenten shell zugriff haben: Ist diese nicht gepatched, bist du sofort root. Wie kann man das nur verharmlosen?
Guyinkognito schrieb:
auf Servern wirds das eher nicht geben. :)
Zumindest bei Ubuntu ist das (pkexec) Default. Auch bei Servern. Systemd macht davon z.B. gerne gebrauch.
 
  • Gefällt mir
Reaktionen: Web-Schecki
Es ist halt ein Fehler dass kritische Systeme am Internet hängen. Staat, Banken und Militär sollten ihr eigenes Netz haben. Jeder darf auch Kontodaten im Netz vorhalten wie er möchte, ohne wirklich zu haften wenn der Supergau kommt.

Linux oder Windows, völlig egal, alles löchrig. Linux Admins sind meist nur irgendwelche Nerds die es besser verstehen und absichern.
 
foo_1337 schrieb:
Ich weiß langsam nicht mehr was ich dazu sagen soll. Nimm z.B. eine Kiste an der Uni auf die unzählige Studenten shell zugriff haben: Ist diese nicht gepatched, bist du sofort root. Wie kann man das nur verharmlosen?
Normalerweise haben Studenten Zugriff auf Daten. Das kann man über samba entsprechend konfigurieren.
Shellzugriff z.B. über ssh oder vnc muß ja erst mal entsprechend eingerichtet werden.
Da sind wir dann bei den usern und Berechtigungen unter Linux. Wie Du ja schon festgestellt hast, ist es ein Multiuser System.
Samba user ist ein user, ssh Client ein anderer user usw.
Und siehe da, die Leute haben sich, als sie Unix erschaffen haben, auch etwas dabei gedacht und die Rechte der einzelnen user schon auf Dateisystemebene festlegbar gemacht.

Gruß
R.G.
 
Ich geb's auf. Hier ist wirklich Hopfen und Malz verloren, tut mir leid. Ignore.
Ergänzung ()

Und für alle anderen, die vielleicht doch interessiert sind und damit auch die Tragweite vielleicht besser verstehen: Hier das ganze auf einem frisch installiertem Ubuntu Cloudimg, wo pkexec eben by default dabei ist:
1643540005958.png
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: Donnerkind, Cool Master und Web-Schecki
rgbs schrieb:
Einem geschenkten Gaul schaut man nicht ins Maul.
Sollte man aber. Insbesondere wenn man das für kritische Sachen einsetzt.
Wenn Dir jemand ein Auto schenkt würdest Du ja auch wollen, das z.B. die Bremsen in Ordnung sind und wenn die es nicht sind, würdest Du die reparieren (lassen) und dem von dem Du das hast mal kurz fragen, warum er Dich mit einer Schrottkarre gefährdet.
Du würdest aber wohl eher nicht sagen: "Naja. Ist ja nur geschenkt. Sch**ß drauf".

rgbs schrieb:
Man bekommt Linux geschenkt, kann wenn man möchte mitarbeiten oder das Ganze mit Spenden unterstützen.
Wer sagt denn, das wir das nicht tun?

rgbs schrieb:
Und dann kommen ganz Schlaue welche das Haar in der Suppe suchen.
Kein System ist perfekt. Nur wenn man stetig draufguckt und immer wieder verbessert, kann eine Weiterentwicklung stattfinden.
Würde man sich immer nur mit dem zufrieden geben was man hat und nie was kritisieren, würden wir heute noch mit Lochkarten arbeiten. :-)

Abgesehen davon sind das keine Kleinigkeiten. Ja. Für sudo mag das gelten. Aber wie schon gesagt, es geht um dahinter liegende Probleme. Und da ist sudo oder PolKit eben nur eine von vielen Baustellen.
Selbst die PolKit-Lücke alleine hätte ja noch gar kein Schaden angerichtet währen die benutzten Bibliotheken/APIs "in Ordnung". Schon allein deshalb zieht das Argument "na ist doch bloß ein unbedeutendes Problem" nicht denn dieses unbedeutende Problem kann in Zusammenarbeit mit anderen Problemen dann doch eben zu einer massiven Sicherheitslücke führen.

foo_1337 schrieb:
Hier das ganze auf einem frisch installiertem Ubuntu Cloudimg, wo pkexec eben by default dabei ist
Gut. Aber das ist ja nun mal die ubuntu-Philosophie: Wir spielen den Usern alles ein von dem wir glauben, das er das vielleicht evtl. irgendwie gebrauchen könnte. :-)

Hier im Thread wurde ja schon mal angemerkt, das man mit einer Minimalinstallation starten sollte und sich davon ausgehend dann alles reinziehen sollte, was man braucht. Da hat man dann ganz vielen unnützen (und potentiell schädlichen) Krempel schon mal nicht mit dabei.

Das gehört ja eigentlich auch schon ewig zum kleinen Security-1x1. Also nicht irgendwelche ausgefeilten Security-Frameworks und Intrusion-Detection-Systeme, sondern zunächst einmal nur das installieren, was man wirklich braucht. Würden das mehr beherzigen, wären wir schon mal ein großen Schritt weiter.

Unglücklicherweise wird das einem heutzutage nicht unbedingt einfach gemacht. Was da teilweise für Abhängigkeiten existieren wenn für ein simples Paket dann doch wieder diverse andere Pakete installiert werden, ist ja teilweise nicht zu glauben. Man braucht ja mal nur zu gucken, was so alles Dependencies auf irgendwelche pulseaudio-Libs, avahi-libs usw. usw. usw. hat. Das ist echt nicht mehr feierlich.
Ergänzung ()

foo_1337 schrieb:
Ich war sehr lange exim Fan aber mittlerweile kann man den leider auch nicht mehr guten gewissens einsetzen.
exim ist sogar bis zum heutigen Tag der Standard-MTA bei z.B. Debian. Gut. Besser als sendmail ist es natürlich allemal. :-)

Wobei alle "großen" MTAs alle für viele Zwecke überdimensioniert sind. Die Lücke füllt der Dragonfly Mail Agent gut. Das ist so ähnlich wie mit doas. Für sehr viele Zwecke reicht die Funktionalität völlig aus. Und braucht man dann doch mehr, greift man zu postfix.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: konkretor und foo_1337
andy_m4 schrieb:
Sollte man aber. Insbesondere wenn man das für kritische Sachen einsetzt.
Man muss Geschenke ja nicht annehmen, es steht Dir ja auch frei ein anderes Betriebssystem zu verwenden.
andy_m4 schrieb:
Wer sagt denn, das wir das nicht tun?
Ach, Du bist jetzt mehrere, oder ist das der "Pluralis Majestatis".
andy_m4 schrieb:
Würde man sich immer nur mit dem zufrieden geben was man hat und nie was kritisieren, würden wir heute noch mit Lochkarten arbeiten. :-)
Ist schon klar, das Automobil wurde erfunden, weil Leute die Pferdefuhrwerke kritisiert haben.
andy_m4 schrieb:
Unglücklicherweise wird das einem heutzutage nicht unbedingt einfach gemacht. Was da teilweise für Abhängigkeiten existieren wenn für ein simples Paket dann doch wieder diverse andere Pakete installiert werden, ist ja teilweise nicht zu glauben. Man braucht ja mal nur zu gucken, was so alles Dependencies auf irgendwelche pulseaudio-Libs, avahi-libs usw. usw. usw. hat. Das ist echt nicht mehr feierlich.
Falls Du es noch nicht gemerkt hast, Du kannst Dir Dein Linux "bauen".

Gruß
R.G.
 
Zurück
Oben