image

Ernstig lek in Dell laptops met Ubuntu

vrijdag 6 augustus 2010, 09:54 door Redactie, 16 reacties

Gebruikers van een Dell Latitude 2110 met Ubuntu zijn gewaarschuwd voor een beveiligingslek, waardoor aanvallers kwaadaardige software op de machine kunnen installeren. Op sommige computers is de meegeleverde Ubuntu-versie zo ingesteld, dat ongeauthenticeerde package installaties worden toegestaan.

Een aanvaller die het netwerkverkeer onderschept of een kwaadaardige mirror server zouden gebruikers zo ongesigneerde packages kunnen laten installeren, waardoor willekeurige code met root-rechten wordt uitgevoerd.

Ongeluk
Volgens Kees Cook van Ubuntu zouden de Dell laptops met Ubuntu 9.10 en Ubuntu 10.04 LTS per ongeluk op deze wijze zijn geconfigureerd. Gebruikers kunnen het probleem verhelpen door te upgraden naar base files "5.0.0ubuntu7.1" en "5.0.0ubuntu20.10.04.2". Een standaard systeem update zorgt vervolgens voor alle benodigde aanpassingen.

Reacties (16)
06-08-2010, 10:11 door Anoniem
tja..... beetje dom om dat zo te configureren...

aan de andere kant, de kans dat dit wordt misbruikt is miniem,
dan zou de aanvaller op de hoogte moeten zijn dat slachtoffer ubuntu draait, en dan ook nog eens of het juist deze versie in kwestie is, en dan dmv een dns spoof het package management programma om de tuin moeten leiden om zo een false package geinstalleerd te moeten krijgen.

ik denk dat fysiek inbreken en zo toegang tot de pc krijgen makkelijker/efficienter is.
06-08-2010, 10:57 door Eerde
Ik blijf het bizar vinden dat er distro's zijn die geen (verplicht) gescheiden root rechten kennen.
06-08-2010, 11:44 door Anoniem
Huh, ubuntu is toch zo fantastisch? Waarom kan je dat zo instellen?
Ik wil niet veel zeggen maar is dit niet de tijd om van ubuntu af te stappen en gewoon Windows gebruiken?
Oh, ok bijna niemand maakt gebruik van linux als desktop systeem, dom van me. Waarom hebben we het hier eigenlijk over, als niemand het gebruikt?
06-08-2010, 11:49 door Anoniem
@Eerde, de reden hiervoor is dat de gebruiker " root " altijd bekend is en je dan " alleen nog maar " een wachtwoord moet zien te vinden. Bij een uitgesckeld root account moet je zowel een gebruikersnaam als wachtwoord achterhalen.

Zelf werk ik ook met een uitgeschakeld root account op zowel Debian als Mint ( en vroeger Ubuntu ), ik ben er zelf nog niet zeker van wat nu echt veilger is.

Maar de manier hoe Dell deze computers heeft geinstalleerd had natuurlijk noooit zo mogen gebeuren.
06-08-2010, 12:52 door Anoniem
@Anoniem 11:44:
Ubuntu zelf is heul veilig, Dell heeft zelf lopen rommelen aan de meegeleverde OS.
06-08-2010, 13:32 door johanv
Door Anoniem:
Ik wil niet veel zeggen maar is dit niet de tijd om van ubuntu af te stappen en gewoon Windows gebruiken?

De meeste applicaties die ik onder Windows installeer, zijn unsigned. Terwijl ik voor een Linuxdistributie meestal enkel gesignde applicaties installeer, recht uit de officiële repository's. Qua veiligheid bij het installeren van software doet Windows het echt niet zo veel beter.
06-08-2010, 13:53 door Anoniem
Door johanv:
Door Anoniem:
Ik wil niet veel zeggen maar is dit niet de tijd om van ubuntu af te stappen en gewoon Windows gebruiken?

De meeste applicaties die ik onder Windows installeer, zijn unsigned. Terwijl ik voor een Linuxdistributie meestal enkel gesignde applicaties installeer, recht uit de officiële repository's. Qua veiligheid bij het installeren van software doet Windows het echt niet zo veel beter.

Dit voorbeeld zegt meer over verschillend gedrag dan over verschillende OSsen. En daar gaat het uiteindelijk ook om natuurlijk. Ook met (Ubuntu) Linux dien je je gezond verstand te gebruiken met het zelf toevoegen van ppa's. Is het niet voor de veiligheid dan wel om niet je systeem om zeep te helpen.

Ik zie dit geval meer als dom gedrag van Dell dan als een probleem van een OS.
06-08-2010, 13:57 door Anoniem
Bron: http://www.ubuntu.com/usn/usn-968-1
A remote attacker intercepting network communications or a malicious archive mirror server
Dit is enige manier hoe deze fout van dell kan gebruikt worden.
Ik vraag me sterk af of de windows installer hier uberhaupt iets tegen doet...
06-08-2010, 14:07 door Anoniem
Foutje van Dell,komen ze er nu pas mee dat ze hun fabrieksinstellingen op dit punt fout hebben gedaan?.
Een fout is menselijk.
Maar het was wel een schadelijke fout voor mensen die niks van computers af weten,mensen die enkel en alleen het ding weten te bedienen en verder geen kennis hebben van het bijwerken van de programmatuur en de instelling ervan.
Het type mens van als het maar werkt dan is het altijd goed,ze kennen de gevaren van het internet ook vaak niet.
06-08-2010, 17:38 door Anoniem
Door Anoniem: Huh, ubuntu is toch zo fantastisch? Waarom kan je dat zo instellen?
Omdat er gebruiksscenario's kunnen bestaan die jij en ik niet bedenken waarin het alleen maar in de weg zit. Misschien wil de ontwikkelaar van een package nog even geen last van ontbrekende signatures hebben terwijl hij nog bezig is om op een VM de inhoudelijke kant van de installatie te testen en fijn te regelen. Ik noem maar wat. De configureerbaarheid is een feature, het is een flexibel stuk gereedschap dat zich naar jouw hand laat zetten. En in tegenstelling tot bij Windows worden niet allerlei opties afgesloten voor allerlei groepen gebruikers. Dat zou kunnen betekenen dat het nooit helemaal een systeem voor de meerderheid wordt, maar daar zit ik niet mee.
Ik wil niet veel zeggen maar is dit niet de tijd om van ubuntu af te stappen en gewoon Windows gebruiken?
Oh, ok bijna niemand maakt gebruik van linux als desktop systeem, dom van me. Waarom hebben we het hier eigenlijk over, als niemand het gebruikt?
Niemand? 1% van de desktopgebruikers vormt een indrukwekkende menigte, misschien besef je niet hoe groot de wereld is.

Ik ben (onder meer) fotograaf, en ik heb spullen die de meeste mensen die foto's maken (wat bijna iedereen is) niet zullen kopen, en ik heb ook allerlei spullen niet die nog veel minder mensen kopen. Moeten websites die fotoapparatuur bespreken zich dan maar beperken tot de goedkope modellen omdat sommige zaken door heel wat minder dan 1% van de bevolking worden aangeschaft? Gek genoeg richten die websites zich op het totale spectrum, van het meest goedkope point-and-shoot-prul tot camera's en lenzen van vele tienduizenden euro's. Ze worden allemaal even serieus besproken. En dat is eerder regel dan uitzondering. Als een redactie personenauto's als onderwerp heeft zit het dik in dat ze alle soorten personenauto's bespreken, van goedkope boodschappenauto'tjes tot de Ferrari's en Lamborghini's, ook al koopt maar een enkeling die laatste.

Er is voor zover ik weet maar één onderwerp waar mensen een merkentrouw hebben die soms zo ver gaat dat ze vinden dat andere merken zelfs niet besproken of gebruikt mogen worden worden, en dat is software. Sta er eens bij stil hoe bizar dat eigenlijk is. Het is gewoon een product. Een stuk gereedschap dat je wel of niet aanspreekt, en waar alternatieven voor te krijgen zijn die misschien meer bij je smaak en behoeftes aansluiten. Die mogen gewoon gebruikt worden en gewoon besproken worden. Ook hier. Niet iets om moeilijk over te doen.
06-08-2010, 18:55 door Anoniem
Door Anoniem: Huh, ubuntu is toch zo fantastisch? Waarom kan je dat zo instellen?
Open source = vrijheid. Dus jah, Dell is vrij om dat zo in te stellen.

Ik wil niet veel zeggen maar is dit niet de tijd om van ubuntu af te stappen en gewoon Windows gebruiken?
Na één foutje op één machientje welke ik niet eens heb!? Rare vraag hoor...

Oh, ok bijna niemand maakt gebruik van linux als desktop systeem, dom van me. Waarom hebben we het hier eigenlijk over, als niemand het gebruikt?
Ach, 't zijn er maar enkele tientallen miljoenen (zo weinig dus ook weer niet). Maar je hebt gelijk, er zijn relatief gezien weinig mensen die Linux gebruiken. Gelukkig is dat in de serverwereld totaal anders. Wereldwijd gebruikt 60 procent van alle servers Linux of een andere unixvariant. Je kunt dus wel stellen dat internet in grote mate afhankelijk is van Linux. Veiligheid is dus echt wel een BIG DEAL voor het besturingsprogramma.
06-08-2010, 23:40 door Anoniem
wel leuk om te zien dat er nog mensen y´zijn die altijd blijven zweren bij micro$oft installaties op systemen... de exploits om via microsoft hosts binnen te komen vormen een veel groter gevaar dan een vulnerability als deze. Snap overigens mensen niet die prive nog microsoft wensen. linux biedt meer flexibiliteit, is stabieler en heeft mindere system requirements
07-08-2010, 12:19 door Anoniem
>>Anoniem 11:44
Dan ben jij zo'n naïve Microsoft fan?
Ik gebruik Linux als desktop systeem, enkele vrienden van me, hun vrienden, en hun vrienden ook.
En het werkt beter dan Windows.

Ik bedoel, als Linux geen Microsoft Office draait, wilt niet zeggen dat die slecht is.
08-08-2010, 21:49 door Anoniem
Om dit lek te misbruiken dient de aanvaller op het netwerk van de gebruiker te zitten, daarnaast moet de aanvaller dan ook nog eens in het zelfde subnet of VLAN zitten, deze situatie doet zich bijna alleen binnen bedrijfsnetwerken voor. Voor de (gemiddelde) thuisgebruiker is er dus niks aan de hand geweest.

Dan nog even een puntje over 'uitgeschakelde root accounts' onder Debian en Mint, das lulkoek, de accounts werken prima anders zou je halve systeem het niet doen. Het wachtwoord is alleen nooit aan jou bekend gemaakt en je hebt het nooit gewijzigd. Het root wachtwoord is voor deze distro's s (en ook voor Ubuntu) standaard een enorm lange string random tekens. Wat er in de tekst wordt bedoeld met 'uitvoeren als root' wil zoveel zeggen als dat de user sudo aan roept om het pakket te installeren, dit {d,m}oet iedereen die een pakket systeem breed wil installeren op linux.

--Jeroen
09-08-2010, 08:58 door Anoniem
Door Anoniem: Bron: http://www.ubuntu.com/usn/usn-968-1
A remote attacker intercepting network communications or a malicious archive mirror server
Dit is enige manier hoe deze fout van dell kan gebruikt worden.
Ik vraag me sterk af of de windows installer hier uberhaupt iets tegen doet...

AFAIK heeft windows nog steeds geen centraal packagemanagement, dus het lijkt me dat windows dit probleem ook niet heeft :)
09-08-2010, 10:56 door Anoniem
Niets is perfect en zeker geen besturingssystemen. Hoe je het wilt gebruiken en dus zal instellen maakt wel erg veel uit. Ik kan de dingen die ik doe met mijn computer niet met welke Linux variant dan ook draaien en zit dus aan Windows. Daar ben ik overigens zeer tevreden mee. Maar besturingssystemen vergelijken is bijzonder lastig en helemaal afhankelijk van wat je er mee doet. Typen, internetten en e-mailen kan op zo'n beetje alles, maar wil je serieus gaan gamen of video bewerken, dan zal je daar op moeten gaan testen.

Jeroen suggereert dat thuisgebruikers veilig zijn omdat het zich alleen maar binnen een bedrijfsnetwerk zou voordoen. Maar er wordt ook gesproken over een 'kwaadaardige mirror server'. Beperkt zich dat ook tot een zelfde subnet of VLAN?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.