Apple dicht sudo-lek in Mac OS X
Apple heeft updates voor Mac OS X uitgebracht die bij elkaar 31 beveiligingslekken dichten, waaronder het sudo-lek dat het mogelijk maakte voor een lokale aanvaller om root-rechten te krijgen door de datum te resetten. In totaal kan een aanvaller via 9 lekken willekeurige code op het systeem uitvoeren.
De meeste kwetsbaarheden zijn verholpen in Apache, Bind, OpenSSL, PHP en PostgreSQL. Daarnaast behoort ook een probleem met het vergrendelingsscherm tot het verleden. In het geval screen sharing was ingeschakeld, de remotedesktopfunctie van Apple, was het mogelijk om het vergrendelingsscherm te omzeilen als een andere gebruiker was ingelogd. Mac OS X Mountain Lion 10.8.5 en Security Update 2013-004 zijn via Apple.com te downloaden.
Ik download op een Amerikaanse server de combo update 10.8.5 los voor mijn Imac.
Kan ook toch?.
-> Safari 5.1.10 voor Mac OS X v10.6.8
met (jawel) een referentie naar Site sponsor & medewerkers Joost Pol and Daan Keuper ("CVE-2012-3748 : Joost Pol and Daan Keuper of Certified Secure working with HP TippingPoint's Zero Day Initiative")
Overzicht Apple Security Updates : https://support.apple.com/kb/HT1222
En verder, betreft het 17 'functionaliteiten' binnen OS X, waarbij er toch nog 7 ook voor het oudere OS X Snow Leopard (10.6) beschikbaar zijn.
Overigens lijkt m.i. het Sudo lek van minder belang dan de verholpen kwetsbaarheden in bijvoorbeeld; Quicktime, Installer, ImageIO & Coregraphics betreffende pdf's met jpg2000, ClamAV, en misschien wel de belangrijkste een update van het Certificate Trust Policy.
Verholpen kwetsbaarheden op een rij : https://support.apple.com/kb/HT5880
Wat betreft de standalone downloads :
Voor Lion - http://support.apple.com/kb/DL1677
Voor Snow Leopard - http://support.apple.com/kb/DL1678
Voor Mountain Lion - zie ik niet op de support pagina's, maar dat kan dan altijd (beter) via je interne directe software update functie.
Opmerkelijke melding bij het volgen van de link "http://www.apple.com/support/downloads/" (op de pagina http://support.apple.com/kb/HT5880) met een redirect naar : https://www.info.apple.com/downloadsredir.html/support/downloads/
"This Connection is Untrusted
..
Technical Details
www.info.apple.com uses an invalid security certificate.
The certificate is only valid for the following names:
*.akamaihd.net , *.akamaihd-staging.net , a248.e.akamai.net
(Error code: ssl_error_bad_cert_domain)"
Voor snow leopard is men van versie 1.6.x naar 1.7.0 gegaan. Dus ook niet nieuwer dan strikt noodzakelijk.
Op zich vreemd omdat de Sudo site zelf aangeeft:
Sudo 1.6.0 through 1.7.10p6 and sudo 1.8.0 through 1.8.6p6 inclusive.
Beide nieuwe versies op de macs vallen dus nog steeds in de aangedane versies. Dus moeten we maar aannemen dat Apple de kwetsbaarheid via een andere route gedicht heeft.
sudo -V
De security updates waren er voor alle systemen van vanaf Snow Leopard. Ouder wordt niet meer ondersteund.
sudo -V
De security updates waren er voor alle systemen van vanaf Snow Leopard. Ouder wordt niet meer ondersteund.
Nog eens één en ander opgezocht / uitgezocht, vanaf OS 9.2.2 waar ik deze functionaliteit overigens niet kon vinden (Lang geleden dat ik 9.2.2 gebruikt heb maar eigenlijk een fijn snel systeem op een oud G3'tje!, als je internet kan missen, het kan nog een beetje aardig met Classilla).
OS X
- Op OS 10.2 is reeds Sudo version 1.6.6 te vinden waarmee het dan al binnen de kwetsbaarheden zou vallen.
- 10.3.9. 10.4.11, 10.5.8 specificeer ik hier niet nader (in het kader van security by obscurity).
- 10.6.8 Snow Leopard Sudo versie is Niet geupdated met de laatste security update 2013-004 ten opzichte van 2013-003.
De Sudo versie blijft volgens mij gelijk, dus staan op Sudo version 1.7.0.
Snow leopard staat ook niet vermeld in de nadere specificatie van Apple bij de security update 2013-004, https://support.apple.com/kb/HT5880 (reden waarom ik het nog eens ben gaan nakijken).
- In geval bij Lion 10.7.5 de laatste security update nog niet heeft plaatsgevonden betreft de Sudo versie Sudo version 1.7.4p6 .
Die is dan bijna gelijk aan een geupdate versie voor Mountain Lion 10.8, het verschil zit hem dan in het 'a'-tje, speciale 'A'ppel versie toevoeging?
Interessante vragen die dan overblijven is of eigenlijk alle versies van OS X voor deze kwetsbaarheid kwetsbaar zijn, maar de onderzoekers dit alleen hebben getest onder Lion 10.7 en Mountain Lion 10.8?
Waarom Apple dit niet patcht voor Snow Leopard (eerdere OS X-en hebben geen security support meer), geen prioriteit of niet kwetsbaar?
Evengoed vind ik de heisa hierom groter dan de kans op misbruik daarvan. Dat ligt vermoedelijk toch wat anders bij de andere gepatchte kwetsbaarheden die een veel groter en breder risico voor gebruikers kunnen opleveren.
p.s., wat is het path van de Sudo directory zelf, ik kon hem niet vinden.
Voordat ik er een Sudo update pkg'tje (sudo-1.8.7.pkg, ook zelfs nog voor 10.5 beschikbaar) over heen gooi is het een prettig idee te weten in welke directory de wijzigingen plaatsvinden (ook voor het eventueel ongedaan maken ervan bij mogelijke oneffenheden/calamiteiten).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
