News Zero-Day-Exploit: PwnKit-Schwachstelle erlaubt Root-Rechte unter Linux

[Cool Master]

Du kannst Dir Dein Linux "bauen".

Dann hast du aber nur den Kernel... Die gleichen Probleme die @andy_m4 sagt sind nach wie vor da, dass es extreme Abhängigkeiten gibt. Das habe ich ja auch schon kritisiert, dass die Entwickler nicht langsam ihr eigenes Ding machen und die Kontrolle über alles wieder übernehmen. Klar ich kann es auch verstehen warum das nicht gemacht wird. Es spart Zeit und Aufwand aber man übergibt halt mögliche Probleme an den "Kunden".

 

[andy_m4]

Man muss Geschenke ja nicht annehmen, es steht Dir ja auch frei ein anderes Betriebssystem zu verwenden.

Ähm ja.
Du hast offenbar das Argument nicht verstanden.

Ach, Du bist jetzt mehrere, oder ist das der "Pluralis Majestatis".

Der Punkt wurde nicht nur gegenüber mir vorgebracht, sondern auch gegenüber anderen. Ich war mal so frei "für alle" zu sprechen. :-)

Falls Du es noch nicht gemerkt hast, Du kannst Dir Dein Linux "bauen".

Das ist mir sehr wohl klar und glaub mir: Mein System ist schon sehr weit individualisiert. Ich hab ohnehin nix "von der Stange" laufen.

Anyway:
Eigentlich haben wir hier auch wieder das selbe Schema. Nur weil ich etwas anders machen kann heißt das ja nicht, das man gängige Umsetzungen nicht kritisieren darf.

Irgendwie drehen wir uns im Kreis. Der wird ausführlichst erklärt, warum bestimmte Dinge problematisch sind. Von Dir kommt dann immer nur "machs doch besser" und so. Was Substanzielles kommt nicht. Von daher weiß ich nicht, wie zielführend es ist wenn wir da noch weiter drüber reden.
Das können wir gerne mal machen, wenn Du mal etwas Konkretes und Substanzielles sagst. Alles andere macht irgendwie nur wenig Sinn.

Das habe ich ja auch schon kritisiert, dass die Entwickler nicht langsam ihr eigenes Ding machen und die Kontrolle über alles wieder übernehmen.

Im Grunde ist es ja auch völlig ok, wenn man bewährte und ausgereifte Lösungen nutzt statt das jeder sich alles selbst zusammen bastelt (und dann in die selben Fehler reinläuft, in die schon hunderte vor ihm reingelaufen sind).
Es ist halt eher die Frage, wie man damit umgeht und das läuft in der Praxis oft nicht wirklich optimal.

Klar ich kann es auch verstehen warum das nicht gemacht wird. Es spart Zeit und Aufwand aber man übergibt halt mögliche Probleme an den "Kunden".

Genau deshalb ist es auch wichtig die "Kunden" aufzuklären, damit auch die anfangen das einzufordern. Weil es nützt mir nix mit dem Entwickler zu reden der das eigentlich auch alles lieber anders haben würde aber halt ein Chef im Nacken hat der im sagt, das muss bis gestern alles fertig sein. :-)

 

[rgbs]

Das ist mir sehr wohl klar und glaub mir: Mein System ist schon sehr weit individualisiert. Ich hab ohnehin nix "von der Stange" laufen.

Offenbar reichen aber Deine Kenntnisse nicht aus, um die von Dir kritisierten Dinge auszuräumen.
Sorry wenn ich das so hart sage, aber wer kann, der macht.

Gruß
R.G.

 

[mae]

nicht wenn man diesen beitrag hier sieht:

https://www.computerbase.de/forum/t...root-rechte-unter-linux.2067411/post-26537256

2013 wären immer noch mindestens 8 Jahre, es beschreibt zumindest das fehlerhafte Verhalten. Und da fehlerhaftes Verhalten auch zu Sicherheitslücken führen kann, ist das der Zeitpunkt, zu der Lücke bekannt wurde.

Tatsaechlich steht am Ende des Blog-Eintrags:

Although getting a setuid binary to use envp in place of argv is amusing, a quick skim of the pkexec source doesn’t show anything that is likely to be vulnerable to having argv[0] be NULL.

Ryan Mallon hat also geglaubt, dass es da keine Sicherheitsluecke gibt, obwohl er entdeckt hat, dass pkexec den Fall mit argc=0 nicht korrekt abfaengt. Qualys hat denn vor zwei Monaten oder so die Sicherheitsluecke entdeckt, und an die Security-Teams mitgeteilt, und eben am 25.1. veroeffentlicht.

 

[andy_m4]

Offenbar reichen aber Deine Kenntnisse nicht aus, um die von Dir kritisierten Dinge auszuräumen.

Tue ich ja. In dem ich eben Software einsetze, von die Dinge besser macht (wie halt doas statt sudo oder dma statt sendmail usw.) oder in dem ich Anpassungen vornehme. Oder indem ich Dependencies entferne indem ich halt keine vorgefertigten Pakete nehme, sondern ggf. selbst angepasste Packages baue.

Wie kommst Du also bitte schön darauf, das ich das (offenbar!) nicht mache?

Sorry wenn ich das so hart sage, aber wer kann, der macht.

Achso. Und Du kannst es nicht und deshalb musst Du Dir einreden, das doch alles in Ordnung sei. Verstehe. ;-)

 

[rgbs]

Dann hast du aber nur den Kernel..

Wie kommst Du denn auf das Brett.
Kernel, Shell, Devices, Binaries u.s.w. sind bei Linux Dateien.
Da der Quellcode offen liegt, kannst Du diesen, wenn Du die entsprechenden Kenntnisse hast modifizieren, danach kompilieren und so Dein Linux "bauen".

Gruß
R.G.

 

[Cool Master]

Im Grunde ist es ja auch völlig ok, wenn man bewährte und ausgereifte Lösungen nutzt statt das jeder sich alles selbst zusammen bastelt (und dann in die selben Fehler reinläuft, in die schon hunderte vor ihm reingelaufen sind).
Es ist halt eher die Frage, wie man damit umgeht und das läuft in der Praxis oft nicht wirklich optimal.

Klar, wobei man da sagen muss viele Wege führen nach Rom. Hat man z.B. 10 unterschiedliche User-Verwaltungen ist das schon aus Security-Sicht deutlich besser (wenn richtig implementiert). Wenn 30 Mio. Systeme eine Bibliothek nutzen und da hat es ein Bug sind halt gleich alle Systeme verwundbar. Gab es in der letzten Zeit ja einige Beispiele wie log4j und sudo (ja nicht direkt eine Bibi).

Genau deshalb ist es auch wichtig die "Kunden" aufzuklären, damit auch die anfangen das einzufordern. Weil es nützt mir nix mit dem Entwickler zu reden der das eigentlich auch alles lieber anders haben würde aber halt ein Chef im Nacken hat der im sagt, das muss bis gestern alles fertig sein. :-)

Ja das stimmt natürlich. Leider ist in vielen Unternehmen heute halt Bananen-Software der Standard, sieht man auch auch bei MS die keine QA Abteilung mehr haben und der Kunde den Tester spielt. Viele sogar noch freiwillig, was ich nicht verstehen kann. Bei Open Source kann ich es ja noch verstehen aber bei Closed Source wo man 0 Vorteile hat ist etwas befremdlich.

Wie kommst Du denn auf das Brett.

Wenn man von Linux spricht, spricht man vom Kernel. Es ist erstmal nur die Grundlage. Der Name "Linux" ist ein Trademark von Linus Torvalds und was ist der? Richtig, der Chef Kernel Entwickler. Was du damit machst ist, wie du schon schreibst, dir überlassen. Das ändert aber wie gesagt nichts an @andy_m4 und meinen Argumenten, dass die Programme aktuell zu viele Abhängigkeiten haben.

 

[andy_m4]

Gab es in der letzten Zeit ja einige Beispiele wie log4j

Ja. Die log4j-Geschichte war übel (wenngleich ich selbst nicht betroffen war).
Aber hier kamen ja auch andere Aspekte zum tragen, die ich genannt hab. Die Komplexität. log4j ist ja darüber gestolpert das die mehr machen wollten als nur stinknormales Logging.

Deshalb ist es sicher klug den Ansatz zu wählen mit Minimalmöglichkeiten als default zu starten und dann sich nur genau dann die Funktionalität reinzuholen, wenn ich sie tatsächlich brauche.

Leider ist in vielen Unternehmen heute halt Bananen-Software der Standard

Das ist auch so ein bisschen der Fluch des Internets. Früher war updaten extrem schwierig. Deshalb hat da auch nur was released wenn man sich sehr sicher war das möglichst alle Fehler weg waren. Und wenn es doch mal einen Patch gab, dann war das halt ziemlich minimal. Da wurden nicht ganze Dateien ersetzt oder so, sondern da gabs ein Patch der irgendwie 4 Bytes direkt im Binary änderte und so. Damit man möglichst wenig ausliefern musste, falls man dann doch mal in die Verlegenheit des patchens kam.

Mit dem Internet ist die Hürde was nicht ganz Fertiges auszuliefern viel niedriger, weil man ja jederzeit problemlos nachpatchen kann. Heute wird alle naselang online gepatcht. Selbst wenn Du Dir frisch Software besorgt hast, lädt die nach der Installation erst mal GB-weise Patches nach.

Viele sogar noch freiwillig, was ich nicht verstehen kann. Bei Open Source kann ich es ja noch verstehen aber bei Closed Source wo man 0 Vorteile hat ist etwas befremdlich.

Wobei Microsoft ja sogar noch vorbildlich ist im Vergleich zu dem, was da gerade so im kommerziellen Umfeld "branchenüblich" ist. :-)

 

[foo_1337]

Gab es in der letzten Zeit ja einige Beispiele wie log4j

Ist halt perfekt, wenn man die kombinieren kann. Code injection von außen via log4j und durch die pkexec Geschichte hier hat man dann noch uid 0.
Aber genau das ist das Problem. Ich sehe das auch teilweise bei neuen Mitarbeitern von uns: "Die Lücke ist ja nur lokal ausnutzbar, ist nicht so dringend". Aber dass die Webapp oder sonstiges auch mal einen Bug haben kann und man dann eben mit diesr Lücke direkt uid 0 hat, erkennen sie auf den ersten Blick nicht. Ist aber nicht schlimm, sowas lernt man ja auch.
Und etwas über den Tellerrand schauen würde auch hier manchen gut tun, ähnliches Verharmlosungsgeschwätz hat man ja auch in den Threads zu log4j gesehen. Ist ähnlich wie bei Spectre, Meltdown & co: Habe ich ein Standalone System, tangiert mich das wenig bis gar nicht. Betreibe ich Virtualisierungshosts sieht die Nummer komplett anders aus.

Ergänzung (30. Januar 2022)

Die Komplexität. log4j ist ja darüber gestolpert das die mehr machen wollten als nur stinknormales Logging.

Ich sehe hier gewisse parallelen zu sudo

 

[rgbs]

Das ändert aber wie gesagt nichts an @andy_m4 und meinen Argumenten, dass die Programme aktuell zu viele Abhängigkeiten haben.

Es steht euch ja frei, eine CM_AM4 Distribution zu erschaffen bei der dann weniger Abhängigkeiten vorhanden sind.
Wenn die dann der "Renner" wird, ist das ja ein Fortschritt in der Linuxwelt.
Ich glaube allerdigs auch nicht an den Weihnachtsmann.

Gruß
R.G.

 

[foo_1337]

Deshalb hat da auch nur was released wenn man sich sehr sicher war das möglichst alle Fehler weg waren.

Remember die Solaris telnet Lücke?
telnet -l "-froot" $host und du warst "drin". Und natürlich direkt uid0.

Ergänzung (30. Januar 2022)

Es steht euch ja frei, eine CM_AM4 Distribution zu erschaffen bei der dann weniger Abhängigkeiten vorhanden sind.
Wenn die dann der "Renner" wird, ist das ja ein Fortschritt in der Linuxwelt.

Alpine existiert. Und auch wenn du die in deinen Sphären nicht wahrnehmen magst, ist das in den letzten Jahren zurecht in gewissen Bereichen "Der Renner" geworden. Wurde Anfangs übrigens auch belächelt. Wie so oft.

Ich hab hier noch ne alte SunOS Kiste, die Defaults damals waren schon nice

 

[Cool Master]

Es steht euch ja frei, eine CM_AM4 Distribution zu erschaffen bei der dann weniger Abhängigkeiten vorhanden sind.

Das Problem ist doch nicht die Distribution oder der Kernel sondern die Apps/Programme die darauf laufen. Ich glaube du willst das nicht verstehen. Auf die schnelle habe ich mal das hier gefunden:

https://stackoverflow.com/questions/58126909/why-so-much-dependencies

Version 0.1.0 und man hat schon 7 Abhängigkeiten. Was glaubst du wie das erst bei Version 1.0 sein wird?

Hier ist auch noch mal ein Artikel dazu:

https://en.wikipedia.org/wiki/Dependency_hell

Wenn die dann der "Renner" wird, ist das ja ein Fortschritt in der Linuxwelt.

In der Linuxwelt gibt es schon genug z.B. Embeded-Linux auf das man wunderbar aufbauen kann oder wie schon gesagt wurde Alpine.

 

[rgbs]

Aus #121

Dann hast du aber nur den Kernel..

Jetzt sind wir bei Programmen.
Wie war das noch bei Robert Lemke: Welches Schweinderl hätten Sie denn gern?
Und es gibt ja auch noch so Sachen wie Appimages oder Snaps.

Gruß
R.G.

 

[andy_m4]

Es steht euch ja frei, eine CM_AM4 Distribution zu erschaffen bei der dann weniger Abhängigkeiten vorhanden sind.

The same "argument" as every posting. :-)

Remember die Solaris telnet Lücke?
telnet -l "-froot" $host und du warst "drin". Und natürlich direkt uid0.

Und im Hintergrund dudelte im Radio "Don't let the sun go down on me ..."
Timing ist halt alles. :-)

Alpine existiert. Und auch wenn du die in deinen Sphären nicht wahrnehmen magst, ist das in den letzten Jahren zurecht in gewissen Bereichen "Der Renner" geworden. Wurde Anfangs übrigens auch belächelt. Wie so oft.

Das ist der Punkt, den er seit Dutzenden von Postings nicht begreift. Es ist ja nicht so, das die angesprochenen Punkte nicht lösbar (wie schon paar Mal geschrieben man kann z.B. sowas wie sudo sofort durch doas ersetzen) sind bzw. dazu keine Lösungswege existieren.
Es gibt sie. Es gibt halt nur oft kein Bewusstsein für die Probleme und das die sich lösen lassen.

Deshalb geht sein "Machs doch besser" auch völlig am Thema vorbei. Man kann es bereits jetzt besser machen. Nur dazu muss man eben aufklären. So wie früher die Leute aufgeklärt werden "mussten", das es neben Windows auch noch ein paar andere Systeme gibt. :-)

 

[Sebbi]

Ryan Mallon hat also geglaubt, dass es da keine Sicherheitsluecke gibt, obwohl er entdeckt hat, dass pkexec den Fall mit argc=0 nicht korrekt abfaengt.

das mag ja sein, aber wie ich ja schon geschrieben habe, normalerweise ist jeder Fehler gerade in so einer Komponente eine potenzielle Sicherheitslücke, das war auch damals schon der Fall. Denn wenn man ein nicht verhergesehenes Verhalten erzeugen kann, was eigentlich immer die Gefahr einer Code Injection geboten hat und auch seit ich glaube 2004 seit Sasser auch hinlänglich bekannt sein sollte.

 

[rgbs]

(wie schon paar Mal geschrieben man kann z.B. sowas wie sudo sofort durch doas ersetzen)

Nur machen halt z.B.die Leute von Canonical das nicht.
Aber es ist schon klar, Du hast mehr Durchblick als die.

Gruß
R.G.

 

[andy_m4]

Sag Du doch mal was dagegen spricht. Schieb' nicht immer nur alles auf andere ab.
Aber ich vermute, da kommt (wie immer) nix.

 

[Cool Master]

Jetzt sind wir bei Programmen.

Nö, da waren wir schon die ganze Zeit. Du hast nur keine Ahnung was du von dir gibst. Ich sehe aber schon, dass du nicht (mehr) diskutieren willst. Meine letze Antwort für dich, bevor ich dich auf ignore setze.

Du hast folgendes zitiert:

Unglücklicherweise wird das einem heutzutage nicht unbedingt einfach gemacht. Was da teilweise für Abhängigkeiten existieren wenn für ein simples Paket dann doch wieder diverse andere Pakete installiert werden, ist ja teilweise nicht zu glauben. Man braucht ja mal nur zu gucken, was so alles Dependencies auf irgendwelche pulseaudio-Libs, avahi-libs usw. usw. usw. hat. Das ist echt nicht mehr feierlich.

Du schreibst dazu:

Falls Du es noch nicht gemerkt hast, Du kannst Dir Dein Linux "bauen".

Darauf habe ich in #121 geantwortet, dass dir Linux da nichts bringt, da es nur der Kernel ist. Du hast dann in #126 gefragt wie ich dazu komme. Antwort in #127, Trademark von Linus. Dann kommt von dir etwas mit Distributionen was mit überhaupt nichts mit Paketen (auch bekannte als Apps/Programme) und deinem initialem Zitat zu tun hat, was ich in #132 erklärt habe.

Wie war das noch bei Robert Lemke: Welches Schweinderl hätten Sie denn gern?

Das Problem ist, wenn man mit Leuten diskutieren will die von der Materie keine Ahnung haben aber so tun als ob. Daher wünsche ich dir alles gute aber deine Antwort werde ich nicht mehr sehen. Ich empfehle dir dich etwas zu belesen. Es ist nicht schlimm das du keine Ahnung hast aber Ignoranz ist es.

 

[rgbs]

Aber ich vermute, da kommt (wie immer) nix.

Du schließt von Dir auf Andere. Passt irgendwie zu Deinem (ich sag es mal freundlich) etwas selbst überschätzten Ego.
Wenn die Leute von Canonical etwas einführen oder eben auch nicht, werden Sie schon Ihre Gründe dafür haben.
Aber es ist schon klar, Du weißt mehr als die.
Und wenn man darauf verweist, dass die Erde ungefähr eine Kugel ist, schiebt ja auch alles auf Andere ab.
Es gibt halt so etwas wie Wissen, auch wenn es Dir fremd ist.

Gruß
R.G.

 

[Web-Schecki]

Wenn die Leute von Canonical etwas einführen oder eben auch nicht, werden Sie schon Ihre Gründe dafür haben.

Offenbar kennst du diese Gründe nicht und kannst nichts sinnvolles zur Diskussion beitragen. Also rede hier nicht von Selbstüberschätzung. Gerade die Entscheidungen von Canonical sind häufig höchst umstritten. Und im Nachhinein hat sich die Kritik daran oft als berechtigt erwiesen, siehe z.B. Unity oder Mir.
Da du nicht in der Lage bist, die Kritik zu verstehen, ist ein bisschen mehr Demut angesagt, denn eventuell kannst du ja etwas lernen. Wenn man sowas lesen muss wie...

Kernel, Shell, Devices, Binaries u.s.w. sind bei Linux Dateien.

... dann ist jedem sofort klar, dass das dringend nötig wäre. Also spare dir doch diese peinlichen Beiträge, die dich nur auf die ignorelist von kompetenteren Usern bringen, von denen du noch was lernen könntest.

Ich persönlich kannte z.B. die Diskussion um sudo/doas noch nicht und bin den anderen dankbar für den interessanten Input. Ganz ohne ihnen Selbstüberschätzung zu unterstellen...