Linux: kritische Lücke für sudo

Dazu muss ein Nutzer logischen Zugang auf die Konsole haben und C Programmierkenntnisse haben. Das mag noch für den Betreiber eines Systems zutreffen. Aber i.d.R. weniger auf Familienangehörige und sonstige Vertraute. Auch glaube ich kaum dass sich diese auf der Commandline bewegen und sudo kennen. Somit nur wichtig wenn man nicht vertauenswürdige User auf sein System zugreifen lässt.
 
framp schrieb:
Dazu muss ein Nutzer logischen Zugang auf die Konsole haben und C Programmierkenntnisse haben.
Zum Vergrößern anklicken....
Oder es ist einer der vielen Hobbybastler die nach einer Anleitung vorgehen. Für Eingaben in die Konsole braucht man nicht unbedingt C Programmierkenntnisse. Eine SSH Verbindung langt um in die Konsole zu kommen und in der Anleitung steht gib ein: "sudo .... " und hoppla.:oops:
Danke für die Warnung @the other
 
Das war jetzt auf Benutzer eines Raspberry pi gemünzt. Linux Rechner sind nicht sehr weit verbreitet, aber auch hier ist man schnell mal in der Konsole und kann Schaden anrichten.
 
In Sudo version 1.9.14, a change was introduced to resolve paths via chroot() while the sudoers file was still being parsed. This introduced a loophole that lets an attacker create a fake /etc/nsswitch.conf file in the specified chroot path. If the system supports the latter, Sudo can be tricked into loading a malicious shared library, potentially granting root access. This vulnerability affects versions 1.9.14 through 1.9.17. Legacy versions are not impacted since they lack support for the chroot option.
Zum Vergrößern anklicken....
Um eine shared library zu erstellen braucht es sicherlich ein wenig C Kenntnisse und noch mehr ...
 
Der Unterschied steckt im Wörtchen "Desktop" Betriebssysteme.
In der Allgemeinheit "Linux Systeme" ist die Frage wie allgemein man es hält. Desktop, Server, Smartphones, IoT, Supercomputer ... etc.
Da ist der Anteil der Linux oder linux-basierten Systeme in der deutlichen Mehrheit.
Von der Minderheit am Desktop mit <5% bis zur totalen Dominanz von 100% bei Supercomputern.
85% aller Smartphones (Android), Server von 65% bis Cloud 90%, IoT 60% (Rest vermutlich Mikrocontroller oder ähnlicher).
Überall wäre potentiell sudo/ssh möglich.

Zugegeben, ob man die eher beschränkten Systeme wie Android da rauslassen will.... diskutabel.

Nur in der plakativen Einfachheit wie "Linux Rechner sind nicht sehr weit verbreitet" kann man es halt nicht unterschreiben.

So, genug Goldwaage für heute. :)
 
Wo habe ich UNIX Systeme reingemischt, ohne sie zu nennen, wo dies von Relevanz (dass es einen Unterschied zwischen UNIX und Linxu gibt) wäre?

Der Einsatz auf Servern und Mainframes habe ich ja nirgends ausgeschlossen.
Die einzige Kategorie die keinen UNIX Einsatz zulassen würde sind die Supercomputer mit 100%. Und ich habe noch nie einen gesehen bzw. in den Top500 gibt es keinen der unter UNIX oder einer Absonderung davon laufen würde.
 
Einfach mal so "Unix" in den Raum geschmissen erscheint mir doch etwas ... "naja". Einfach mal einen Blick in den BSD-Artikel auf Wikipedia werfen: https://de.wikipedia.org/wiki/Berkeley_Software_Distribution, da gibt es auch eine entsprechende Info-Grafik. Nebst dem wollen wir hier nicht vergessen, worum es hier eigentlich geht: Heimnetzwerke. Die Desktops ggf. mal aussen vor, haben die meisten sicherlich "irgendwas" Zuhause in diese Richtung laufen, worauf auch irgendeine Art von OS läuft - ganz egal ob Raspberry, NAS, oder einen smarten Toaster. Für die etwas "grösseren" Dinge (NAS, Raspberry, etc.) gilt i.d.R.: Linux-basiert. Da ist dann oftmals - aber auch nicht immer - auch das Paket sudo mit an Board. In Bezug auf Desktop-Systeme haben sicherlich die wenigstens ein Linux-System laufen, die meisten dürften sich auf Windows und Apple belaufen. "Unix" hat diesbezüglich - wenn man sich mal die entsprechende Info-Grafik im o.g. Wikipedia-Artikel anschaut - hier herzlich wenig verloren, sowas findet man denn dann doch eher vielleicht noch im Enterprise-Sektor, aber wie gesagt... Heimnetzwerk und so. Insofern dürfte der Hinweis bzgl. sudo primär auf die Server-artigen Systeme im Heimnetz bezogen sein (und ggf. auch als kleiner Hinweis für jene, welche eine Linux-Distro zwecks Desktop laufen lassen) 🙃
 
Moinsen,
öhm, mein Beitrag bezog sich ganz stumpf auf den verlinkten Artikel. Ich selber nutze auch am desktop linux. Daher für mich gleich doppelt interessant. Außerdem bauen die meisten raspi Projekte, Proxmox, docker, NAS und so viel mehr auf Linux auf, dass es ja imho durchaus angebracht ist, diese Warnung (die als doch recht hoch in den möglichen Auswirkungen eingeschätzt wird) zu teilen. Ob das nun wirklich (wie so oft) eine praktische Gefahr darstellt...dahingestellt. Denn auch hier braucht es für einen Angriff einen lokalen Zugriff auf das System...
Da es aber bereits updates gibt dieser Beitrag...egal wie viel Prozent Anteile hier oder da am Marktsegment. ;)
Hier im Haus ist der Linux Anteil 100 % würde ich mal so pauschal sagen, keine Ahnung bei der ps4, aber alles andere...
 
Irgendwie verstehe ich diese Diskussion nicht.
Es wir auf einen gefährlichen Umstand im Zusammenhang mit sudo hingewiesen.
Nun wird (wurde) diskutiert, wen das betreffen könnte.
Das ist doch völlig egal, es geht darum, eine Sicherheitslücke zu schließen.
@the other danke für den Hinweis.
 
frosch2 schrieb:
Nun wird (wurde) diskutiert, wen das betreffen könnte.
Zum Vergrößern anklicken....
Um dem Clickbaiting bzgl dieses Themas den Dampf rauszunehmen. sudo Zugriff alleine reicht eben nicht aus sondern es sind auch weiter spezielle Kenntnisse notwendig die nicht jeder hat. D.h. ein jeder der ein Linux System @home am Laufen hat wie z.B. auf einer Raspberry ist eigentlich nicht betroffen.
 
irgendwie versteh ich das nicht. sudo kann man doch nur in verbindung mit dem root-Passwort verwenden. Wo ist denn nun die Sicherheitslücke?
Kommt man mit einer passenden nsswitch.conf am root-Passwort vorbei?
 
Although the vulnerability involves the Sudo chroot feature, it does not require any Sudo rules to be defined for the user. As a result, any local unprivileged user could potentially escalate privileges to root if a vulnerable version is installed.
Zum Vergrößern anklicken....
 
Loxley schrieb:
Ein Passwort musst Du dazu nicht eingeben.
Zum Vergrößern anklicken....
Das ist wohl eher abhängig von der Konfiguration. Ebenso hättest Du sagen können, dass man bei der Anmeldung von Windows keinerlei Authentifizierung braucht, was - unter bestimmten Umständen - sicherlich auch der Fall wäre, "wenn" es denn entsprechend konfiguriert ist (Stichwort "automatische Anmeldung"). Gleiches gilt auch für sudo (inkl. der Anmeldung via SSH-Key, sofern denn dort noch ein Passwort verlangt wird). In Bezug auf sudo ist es also eher eine Konfigurationssache. Siehe dazu die sudoers-manpage:
By default, sudo requires that a user authenticate him or herself before running a command. This behavior can be modified via the NOPASSWD tag
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 132 (Mitglieder: 7, Gäste: 125)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.841
Beiträge
66.152
Mitglieder
7.162
Neuestes Mitglied
cheesemountain0

Teilen

Zurück
Oben