image

Ernstig Linux-lek geeft hackers toegang tot systeem

woensdag 18 augustus 2010, 11:15 door Redactie, 50 reacties

Beveiligingsonderzoeker Rafal Wojtczuk heeft een ernstig probleem in Linux ontdekt dat aanvallers volledige controle over systemen geeft. Het opmerkelijke van Wojtczuk's aanval is dat er geen concrete kwetsbaarheid wordt gebruikt. "Dat maakt het zo interessant", aldus rootkit-expert en collega Joanna Rutkowska. De aanval geeft een user proces dat toegang tot de X server heeft, dus elke GUI-applicatie, root-rechten. Rutkowska merkt op dat het geen bug in X Server betreft.

"In andere woorden, elke GUI-applicatie, zoals een gesandboxte PDF viewer, indien gecompromitteerd via een kwaadaardig PDF document, kan alle mooie Linux beveiligingsmaatregelen omzeilen en naar root escaleren om vervolgens het gehele systeem te compromitteren", aldus Rutkowska. Zelfs de "sandbox -X" jail van SELinux is niet veilig. "Om het nog erger te maken, de aanval is al verschillende jaren mogelijk, waarschijnlijk sinds de introductie van kernel 2.6."

Desktop
Volgens de Poolse laat de aanval zien hoe lastig het is om een desktop platform te beveiligen. "Waar één van de grootste uitdagingen is het laten praten van applicaties met de GUI-laag, waarbij een erg dik GUI-protocol en complexe GUI-server betrokken is, maar tegelijkertijd proberen dingen veilig te houden." Vorige week publiceerde Linus Torvalds een kernel-level 'patch' voor het probleem, die inmiddels in verschillende kernels is terug te vinden.

Reacties (50)
18-08-2010, 11:21 door Anoniem
Zou dit niet opgelost worden als X draait zonder root privileges (waarmee ze bezig zijn)?
18-08-2010, 11:27 door Anoniem
Who cares, bijna niemand (<1%) gebruikt linux voor de desktop, onzin bericht dus..
18-08-2010, 11:29 door Anoniem
Eerde ?.
18-08-2010, 11:42 door Anoniem
Wat een stilte van het anti-windows front opeens...
18-08-2010, 11:49 door Anoniem
Door Anoniem: Who cares, bijna niemand (<1%) gebruikt linux voor de desktop, onzin bericht dus..

Ongeacht dat je percentage sowieso niet klopt. Zijn er ook genoeg sysadmins die een linux server hebben te draaien met GUI.
18-08-2010, 11:54 door ej__
Gelukkig is linux het meest gebruikt voor servers, zonder X.

Blijkt maar weer eens te meer hoe brak processen kunnen zijn die met root rechten moeten lopen. Lang leve privilege separation...
18-08-2010, 12:04 door Anoniem
Door Anoniem: Who cares, bijna niemand (<1%) gebruikt linux voor de desktop, onzin bericht dus..

Ik gebruik al 10 jaar een linuxdesktop :)
18-08-2010, 12:32 door Anoniem
die hard gebruiker :p
18-08-2010, 12:35 door Anoniem
Niewtje, het is geen 1% meer.
Let op, dit wordt vele malen eerder gepatched dan fouten in Windows. Deze beveiligingsonderzoeker is blijkbaar de eerste die dit probleem gevonden heeft. Het betekend niet dat Linux gebruikers heel lang kwetsbaar waren voor aanvallen. Als je begrijpt wat ik bedoel...
18-08-2010, 12:36 door Anoniem
Wat bedoelen ze met 'er wordt geen concrete kwetsbaarheid voor gebruikt'? Wat deze exploit ook mogelijk maakt, ik denk dat iedereen die wel als een kwetsbaarheid zou classificeren. Er zit vast geen giveRoot()-call in X wat het een feature ipv bug zou maken.

Piet
18-08-2010, 12:44 door Anoniem
Lees allemaal even de comment van Torvalds.. Het ligt niet aan de X server, maar aan de afhandeling van stack-pages. Ofwel: niet allemaal blaten "op mijn server draait geen X, dus ik ben veilig' en meer van die onzin.

Patchen...
18-08-2010, 14:30 door Anoniem
Ach als alle Linux dozen lek zijn is de kans dat ze precies die van mij pakken ook heel klein :)
Maar goed blijft wel slordig..
18-08-2010, 15:11 door Anoniem
Clicktrolls.. valt niet op hoor. Niveau is weer bedroevend hier. Blijkbaar is de vakantie ook weer voorbij.
18-08-2010, 15:40 door SirDice
Door ej__: Gelukkig is linux het meest gebruikt voor servers
Iets wat wel vaker geroepen wordt door linux advocaten. Het is alleen niet correct.
http://www.zdnet.com/blog/microsoft/behind-the-idc-data-windows-still-no-1-in-server-operating-systems/5408
18-08-2010, 15:54 door r00t
Er wordt een lek genoemd in de post, en jullie dames beginnen direct weer over Linux vs windows voor desktop en servers? Dames.. GNU/Linux is een Operating System, geen oorlog ;-)
Ik ben heel benieuwd naar het lek, wat dus blijkbaar niet in X zit. Een kernel patch is er al, dus da's sneller dan dat Apple en Microsoft haar lekken patchen. Moeten we nu echt verder kibbelen over besturingssystemen?

@SirDice
Ik zie daar een document zonder statistieken en wederom veel dollartekentjes. Moet dit als bewijs dienen, of wat? Wat is 'correct'.. een mening van iemand? Een brak onderzoek naar kosten? ;-)
18-08-2010, 16:00 door Anoniem
Dat het lek al jaren oud is, wordt hier luidkeels verzwegen. Dat had nou eens bij Windows moeten zijn, dan was het huis te klein hier.
18-08-2010, 16:02 door SirDice
Door r00t: @SirDice
Ik zie daar een document zonder statistieken en wederom veel dollartekentjes. Moet dit als bewijs dienen, of wat? Wat is 'correct'.. een mening van iemand? Een brak onderzoek naar kosten? ;-)
Ik zou zeggen, zoek het bewuste document even op bij IDC.
18-08-2010, 16:14 door Anoniem
Door r00t: @SirDice
Ik zie daar een document zonder statistieken en wederom veel dollartekentjes. Moet dit als bewijs dienen, of wat? Wat is 'correct'.. een mening van iemand? Een brak onderzoek naar kosten? ;-)

Zonder dollartekens, want de aanschaf hoeft niet eens goedkoper te zijn. Als de TCO maar lager is:
http://searchenterpriselinux.techtarget.com/news/2240021000/Cost-isnt-the-only-rationale-for-open-source-adoption?

Peter
18-08-2010, 16:18 door Anoniem
Door SirDice:
Door r00t: @SirDice
Ik zie daar een document zonder statistieken en wederom veel dollartekentjes. Moet dit als bewijs dienen, of wat? Wat is 'correct'.. een mening van iemand? Een brak onderzoek naar kosten? ;-)
Ik zou zeggen, zoek het bewuste document even op bij IDC.

Ook hier draaien er meer windows servers. Maar daar is een eenvoudige verklaring voor. Per windows server kan er minder. Zo draaien er een aantal Oracle databases op 1 server. Moeten er een paar geconverteerd worden naar MS-SQL, dan is per database een aparte server nodig. We hadden voor 10.000 studenten de mail draaien op 1 enkele linux server. Nu draait het op Exchange en hebben we 5 servers nodig. En dan tel ik de DC's niet eens mee. En het meerendeel van de studenten gebruikt nog steeds gewoon IMAP of webmail.

Peter
18-08-2010, 16:54 door SirDice
Door Anoniem:
Door SirDice:
Door r00t: @SirDice
Ik zie daar een document zonder statistieken en wederom veel dollartekentjes. Moet dit als bewijs dienen, of wat? Wat is 'correct'.. een mening van iemand? Een brak onderzoek naar kosten? ;-)
Ik zou zeggen, zoek het bewuste document even op bij IDC.

Ook hier draaien er meer windows servers. Maar daar is een eenvoudige verklaring voor. Per windows server kan er minder. Zo draaien er een aantal Oracle databases op 1 server. Moeten er een paar geconverteerd worden naar MS-SQL, dan is per database een aparte server nodig. We hadden voor 10.000 studenten de mail draaien op 1 enkele linux server. Nu draait het op Exchange en hebben we 5 servers nodig. En dan tel ik de DC's niet eens mee. En het meerendeel van de studenten gebruikt nog steeds gewoon IMAP of webmail.
Het waarom is totaal niet interessant in deze. Het gaat om de uitspraak "er zijn meer linux servers dan..". Die uitspraak is niet correct maar wordt wel door jan en alleman klakkeloos overgenomen.
18-08-2010, 17:05 door ej__
Door SirDice:
Door ej__: Gelukkig is linux het meest gebruikt voor servers
Iets wat wel vaker geroepen wordt door linux advocaten. Het is alleen niet correct.
http://www.zdnet.com/blog/microsoft/behind-the-idc-data-windows-still-no-1-in-server-operating-systems/5408
Zal ik je een geheimpje verklappen? Niet verder vertellen hoor, maar linux wordt meer op servers gebruikt dan op desktops. Meer heb ik niet gezegd, minder ook niet. Er is _helemaal_ _niets_ incorrect aan mijn uitspraak.
18-08-2010, 17:07 door ej__
Door SirDice:
Door Anoniem:
Door SirDice:
Door r00t: @SirDice
Ik zie daar een document zonder statistieken en wederom veel dollartekentjes. Moet dit als bewijs dienen, of wat? Wat is 'correct'.. een mening van iemand? Een brak onderzoek naar kosten? ;-)
Ik zou zeggen, zoek het bewuste document even op bij IDC.

Ook hier draaien er meer windows servers. Maar daar is een eenvoudige verklaring voor. Per windows server kan er minder. Zo draaien er een aantal Oracle databases op 1 server. Moeten er een paar geconverteerd worden naar MS-SQL, dan is per database een aparte server nodig. We hadden voor 10.000 studenten de mail draaien op 1 enkele linux server. Nu draait het op Exchange en hebben we 5 servers nodig. En dan tel ik de DC's niet eens mee. En het meerendeel van de studenten gebruikt nog steeds gewoon IMAP of webmail.
Het waarom is totaal niet interessant in deze. Het gaat om de uitspraak "er zijn meer linux servers dan..". Die uitspraak is niet correct maar wordt wel door jan en alleman klakkeloos overgenomen.
Het zou schelen als _jij_ geen onjuiste aannames doet. ;)
18-08-2010, 17:07 door SirDice
Door ej__:
Door SirDice:
Door ej__: Gelukkig is linux het meest gebruikt voor servers
Iets wat wel vaker geroepen wordt door linux advocaten. Het is alleen niet correct.
http://www.zdnet.com/blog/microsoft/behind-the-idc-data-windows-still-no-1-in-server-operating-systems/5408
Zal ik je een geheimpje verklappen? Niet verder vertellen hoor, maar linux wordt meer op servers gebruikt dan op desktops. Meer heb ik niet gezegd, minder ook niet. Er is _helemaal_ _niets_ incorrect aan mijn uitspraak.
Op die manier is er inderdaad niets mis mee. Ik las het echter anders.
18-08-2010, 17:10 door virusje
Nu duiken alle Windows gebruikers natuurlijk meteen op dit media artikel aangezien het zelden voorkomt dat er een behoorlijk veiligheidslek in Linux voorkomt. Maar om Linux nu gelijk helemaal af te gaan zitten kraken omdat dit een keer gebeurd. Bij Windows wordt het eene gat na het andere gedicht en bij Linux zijn ze zo slim om gewoon een betrouwbaar en stabiel product neer te zetten. We moeten eigenlijk schamen dat we hier zo minachtend over doen, terwijl we voor Windows beveiligings software moeten aanschaffen omdat anders ons systeempje vast loopst. Bij Linux zijn ze zo slim geweest dat er eerst een wachtwoord moet worden ingevoerd voordat de software wordt geïnstalleerd, zodat je eigenlijk als je een beetje normaal het woord '''beveiliging'' niet eens in de mond hoeft te nemen.
18-08-2010, 17:19 door SirDice
Door virusje: Bij Windows wordt het eene gat na het andere gedicht en bij Linux zijn ze zo slim om gewoon een betrouwbaar en stabiel product neer te zetten.
Ik zou toch maar eens wat beter de changelog lezen. Vergeet ook niet dat Linus en consorten (ernstige) security bugs niet eens noemen in de changelog (in ieder geval niet als security fix). De gaten zijn er wel degelijk alleen worden ze niet zo aan de grote klok gehangen zoals dat bij Microsoft wel gebeurd.

Bij Linux zijn ze zo slim geweest dat er eerst een wachtwoord moet worden ingevoerd voordat de software wordt geïnstalleerd,
Alleen jammer dat dat niet klopt. Je kunt prima software 'installeren', zonder wachtwoord, op een plek waar een gebruiker kan schrijven. Bovendien is het, in dit geval, niet eens nodig.
18-08-2010, 17:37 door Jachra
Door r00t: GNU/Linux is een Operating System, geen oorlog ;-)

Linux is alleen de kernel. Dus is er ook eigenlijk geen sprake van GNU/Linux zoals sommige het wil doen geloven.
18-08-2010, 18:10 door mathijsk
Door Anoniem: Who cares, bijna niemand (<1%) gebruikt linux voor de desktop, onzin bericht dus..

Dus het hoeft niet gepatched te worden? Jouw reactie is eerder een onzinreactie.
Laat mij nu net bij die <1% horen, dit bericht lezen en direct aan de slag gaan met patchen.
Ik vind dit dus een prima bericht.
18-08-2010, 18:38 door Anoniem
Hahahahaha linux fanboys geowned sukkels
18-08-2010, 19:43 door Anoniem
Eerste patches werden hiervoor al op 13 augustus vrijgegeven?
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-2240
18-08-2010, 19:58 door [Account Verwijderd]
[Verwijderd]
18-08-2010, 20:11 door Anoniem
Door Anoniem:
Door Anoniem: Who cares, bijna niemand (<1%) gebruikt linux voor de desktop, onzin bericht dus..

Ongeacht dat je percentage sowieso niet klopt. Zijn er ook genoeg sysadmins die een linux server hebben te draaien met GUI.

Ligt er en beetje aan hoe en waar je kijkt. Maar over die 1% is voor zover het desktops betreft genoeg consensus:

http://en.wikipedia.org/wiki/Usage_share_of_operating_systems

Kijk je naar servers dan is het natuurlijk een ander verhaal.
18-08-2010, 20:31 door cyberpunk
Eerde, waar ben je nu? :-?
18-08-2010, 21:53 door Eerde
Niet interessant zolang er geen (grote)aantallen bij staan van misbruikte machines.
18-08-2010, 21:58 door Anoniem
Linux is ook een geitenkaas software. Wie denkt dat Linux veiliger is komt erg bedrogen uit. Wij van IG kunnen dat gerust mededelen. De rest van het verhaal kent iedereen al....

Chung & J Lung
InfraGard
Sectrust.ams.osd/Crew
18-08-2010, 22:57 door soeperees
Ok, wie van de windowsfanboys gaat de eerste Linux machine overnemen?
Oh, niemand? Zou het komen omdat de windows mensen geen verstand van zaken hebben?

De patch is er al. Eat that! incompetente sukkels!
18-08-2010, 23:26 door virusje
Door SirDice:
Door virusje: Bij Windows wordt het eene gat na het andere gedicht en bij Linux zijn ze zo slim om gewoon een betrouwbaar en stabiel product neer te zetten.
Ik zou toch maar eens wat beter de changelog lezen. Vergeet ook niet dat Linus en consorten (ernstige) security bugs niet eens noemen in de changelog (in ieder geval niet als security fix). De gaten zijn er wel degelijk alleen worden ze niet zo aan de grote klok gehangen zoals dat bij Microsoft wel gebeurd.

Bij Linux zijn ze zo slim geweest dat er eerst een wachtwoord moet worden ingevoerd voordat de software wordt geïnstalleerd,
Alleen jammer dat dat niet klopt. Je kunt prima software 'installeren', zonder wachtwoord, op een plek waar een gebruiker kan schrijven. Bovendien is het, in dit geval, niet eens nodig.

Oke. Ik heb ook alleen maar geringe ervaring met Ubuntu dus dat zou jij makkelijk beter kunnen weten. Ik vind alleen wel dat niet iedereen nu gelijk Linux in de put moet stoppen omdat er één keer een media hype over is. Als Microsoft weer eens een patchdag moet draaien beginnen we daar toch ook niet gelijk over piepen?
19-08-2010, 00:48 door Anoniem
Door Anoniem: Who cares, bijna niemand (<1%) gebruikt linux voor de desktop, onzin bericht dus..
Ik gok 15% of meer van de bezoekers hier? Daarom dus boeiend nieuws.
1% Van alle desktops wereldwijd is nog steeds veel, als je dat bedoelde.
19-08-2010, 02:53 door Jachra
Door soeperees: Ok, wie van de windowsfanboys gaat de eerste Linux machine overnemen?
Oh, niemand? Zou het komen omdat de windows mensen geen verstand van zaken hebben?

De patch is er al. Eat that! incompetente sukkels!

Even Metaspli0t gebruiken... ;-)

Hoeveel devices met embedded Linux kunnen dan nog exploitable zijn?
19-08-2010, 06:30 door mathijsk
Hoeveel devices met embedded Linux kunnen dan nog exploitable zijn?

Hoeveel embedded devices heb jij met X server erop?
19-08-2010, 07:57 door Anoniem
Door mathijsk:
Hoeveel devices met embedded Linux kunnen dan nog exploitable zijn?

Hoeveel embedded devices heb jij met X server erop?

Wel ff de hele boom lezen; zoals eerder al gezegd werd,
Het ligt niet aan de X server, maar aan de afhandeling van stack-pages.

Patchen dus...
19-08-2010, 08:08 door Silver
Door soeperees: Ok, wie van de windowsfanboys gaat de eerste Linux machine overnemen?
Oh, niemand? Zou het komen omdat de windows mensen geen verstand van zaken hebben?

De patch is er al. Eat that! incompetente sukkels!

Ik weet dat ik eigenlijk de trollen niet moet voeren, maar MAN wat ben jij een eikel. Hoe krijg je t in je eigen harses voor elkaar om die miljoenen mensen over 1 kam te scheren op basis van hun OS voorkeuren?


Verder:
OS has flaw. News at 11.

(Kortom: niks nieuws onder de zon, patchen en doorlopen. BFD.
19-08-2010, 10:07 door Loserenzo
Door Anoniem: Who cares, bijna niemand (<1%) gebruikt linux voor de desktop, onzin bericht dus..

Mwahaha .. laten voor de gein stellen dat je gelijk hebt en dat 0.5% een linux desktop draait .. en dat 1% daarvan geinfecteerd raakt, gewoon .. voor het argument.
Er wordt geschat dat er 1 miljard pc's/computers/servers/geen-zin-in_die_discussie aan het internet hangen, dan heb je een legertje van 50.000 zombies dat jouw gaan spammen. Volkomen kul om daarover iets te rapporteren, inderdaad.

Sowieso onzinnig om 5 miljoen gebruikers te waarschuwen dat hun systeem mogelijk lek is, helemaal mee eens..tsspff

Wat ik aan het bericht overigens niet begrijp, is dat een onderzoeker nu een lek ontdekt, dat vorige week al gepatched is.
Betekent dat, als ik de patchnotes goed lees ik ook onderzoeker ben en lekken kan ontdekken?
19-08-2010, 10:30 door SirDice
Door Loserenzo: Wat ik aan het bericht overigens niet begrijp, is dat een onderzoeker nu een lek ontdekt, dat vorige week al gepatched is.
Betekent dat, als ik de patchnotes goed lees ik ook onderzoeker ben en lekken kan ontdekken?
Jouw tijdslijn klopt niet. Bug gevonden, bug gemeld, bug gepatcht, details bug openbaar maken.
19-08-2010, 10:51 door Anoniem
Door soeperees: Ok, wie van de windowsfanboys gaat de eerste Linux machine overnemen?
Oh, niemand? Zou het komen omdat de windows mensen geen verstand van zaken hebben?

De patch is er al. Eat that! incompetente sukkels!

Sneu als je zo bent dat je zo reageert..
Het is niet moeilijk een Linux doos over te nemen, meestal draait er wel iets op wat lek is (als je in het wild zoekt)..
Maar daar gaat het helemaal niet om, in dit geval gaat het er om dat er een lek zit in de stack-pages en dat iedere Linux admin nu moet patchen.

En laten we even duidelijk maken dat Linux admins het makkelijker hebben dan Windows admins..
- Een Linux admin begint met een veilig en stabiel OS
- Een Windows admin moet een veel betere beheerder zijn om z'n OS veilig en stabiel te krijgen en houden.

Dus je kunt ook zeggen dat Linux admins de "easy way" kiezen ipv serieus aan het werk te gaan..
19-08-2010, 13:31 door mathijsk
Wel ff de hele boom lezen; zoals eerder al gezegd werd,

Dat heb ik ook gedaan en mijn conclusie is dat wanneer er geen GUI support is, er ook geen probleem is.
Op embedded devices is de kernel over het algemeen gestript van alles dat onnodig is.
Daar zul je dan dus ook geen GUI support vinden.
19-08-2010, 13:44 door Anoniem
Door mathijsk:
Wel ff de hele boom lezen; zoals eerder al gezegd werd,

Dat heb ik ook gedaan en mijn conclusie is dat wanneer er geen GUI support is, er ook geen probleem is.
Op embedded devices is de kernel over het algemeen gestript van alles dat onnodig is.
Daar zul je dan dus ook geen GUI support vinden.

Het gaat niet om de GUI support... De X omgeving is alleen het makkelijkst te gebruiken, omdat het een enorme memory-hog is, maar iedere tool, die stackpages blijft alloceren kan het effect veroorzaken.. Dus een simpele routine if (i,i++) { malloc(i) } zal de fout veroorzaken.. Userland.

Vergeet dat GUI argument.
19-08-2010, 20:36 door [Account Verwijderd]
[Verwijderd]
19-08-2010, 20:45 door [Account Verwijderd]
[Verwijderd]
20-08-2010, 07:48 door Silver
Door Anoniem: Linux is ook een geitenkaas software. Wie denkt dat Linux veiliger is komt erg bedrogen uit. Wij van IG kunnen dat gerust mededelen. De rest van het verhaal kent iedereen al....

Chung & J Lung
InfraGard
Sectrust.ams.osd/Crew



Zucht, en wederom is die trol er ook weer. Hey fucknut, als je jezelf dan toch voordoet als een of andere 'crew', doe dan op zn minst een BEETJE onderzoek. InfraGard is een AMERIKAANS initiatief van de overheid om informatie over hacks en malware te delen tussen de aangesloten partijen (overheid en commercie). Er IS geen Nederlandse tak.

@ security.nl mods: Serieus, waarom wordt dit kleine kind niet gewoon gepermabanned? We have the technology!
22-08-2010, 09:26 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.