Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Tien jaar oude sudo-kwetsbaarheid in Mac en Linux krijgt fix.

05-02-2020, 13:43 door Anoniem, 12 reacties
Link naar het artikel: https://news.softpedia.com/news/ten-year-old-sudo-bug-giving-root-privileges-to-any-user-gets-a-fix-529096.shtml

Het is een ernstig iets, maar gelukkig zijn er bepaalde voorwaarden nodig om deze kwetsbaarheid gevaarlijk te maken. En veel distro's hebben de voorwaarde die de kwetsbaarheid gevaarlijk maakt bij default uit staan. Dat dan weer wél...

Dit toont aan dat ook Linux en Unix niet onfeilbaar zijn (is ook onmogelijk!). Maar volgens mij heeft ook niemand beweerd dat deze systemen ongevoelig zijn voor kwetsbaarheden. Het blijft immers mensenwerk... ;-)
Reacties (12)
05-02-2020, 20:15 door Anoniem
Korte samenvatting: Als je zonodig sterretjes wil zien als je je wachtwoord typt dan is sudo lek. Nouja, was. De mitigatie is dan ook de sterretjes tijdens het wachtwoordtypen uitzetten. Die standaard toch al uitstonden. En geen Unixbaard die ze wil zien. Wat dan dus ook een reden is waarom niemand het lek voorheen gezien heeft.

Aluhoedjestijd: Het was expres. Maar door wie? En voor wie? Vragen, vragen.
05-02-2020, 23:07 door Anoniem
Door Anoniem: Korte samenvatting: Als je zonodig sterretjes wil zien als je je wachtwoord typt dan is sudo lek. Nouja, was. De mitigatie is dan ook de sterretjes tijdens het wachtwoordtypen uitzetten. Die standaard toch al uitstonden. En geen Unixbaard die ze wil zien. Wat dan dus ook een reden is waarom niemand het lek voorheen gezien heeft.

Aluhoedjestijd: Het was expres. Maar door wie? En voor wie? Vragen, vragen.
Expres was het zeker niet. Maarreh.... ik heb de patch al binnen. Meteen na het opstarten van de computer... PATS! En geïnstalleerd. Hoezo: "patch tuesday"? Gewoon meteen spijkers met koppen slaan, zoals het hoort. "Petsj" is voor Arch Linux en Manjaro al vrij gegeven. Ubuntu en Debian volgen snel.

Geen sterretjes tijdens het typen in de terminal? Bij de meeste distro's inderdaad niet. Bij Linux Mint trouwens wel, want dáár is het weer aan gezet. Verder prima, want je kunt er alleen aan aflezen hoeveel karakters je hebt gebruikt voor je wachtwoord. Is dat zo'n probleem? Ik vind van niet.
06-02-2020, 04:22 door [Account Verwijderd] - Bijgewerkt: 06-02-2020, 04:23
Dit was waarschijnlijk ook de reden waarom doas werd bedacht door de OpenBSD jongens.

https://flak.tedunangst.com/post/doas

Een quote uit dit document:
There were some concerns that sudo was too big, running too much code in a privileged process. And there was also pressure to enable even more options, because the feature set shipped in base wasn’t big enough.

Slimme jongens die OpenBSD programmeurs.
06-02-2020, 08:00 door Bitje-scheef
Door Anoniem: Link naar het artikel: https://news.softpedia.com/news/ten-year-old-sudo-bug-giving-root-privileges-to-any-user-gets-a-fix-529096.shtml

Het is een ernstig iets, maar gelukkig zijn er bepaalde voorwaarden nodig om deze kwetsbaarheid gevaarlijk te maken. En veel distro's hebben de voorwaarde die de kwetsbaarheid gevaarlijk maakt bij default uit staan. Dat dan weer wél...

Dit toont aan dat ook Linux en Unix niet onfeilbaar zijn (is ook onmogelijk!). Maar volgens mij heeft ook niemand beweerd dat deze systemen ongevoelig zijn voor kwetsbaarheden. Het blijft immers mensenwerk... ;-)

Wie beweert dat dan dat Linux/Unix/OpenBSD onfeilbaar is ? Het structuur van het OS zorgt alleen dat bepaalde zaken op een andere manier worden uitgevoerd, waardoor wel een hoop zaken worden afgevangen waar Windows dit gewoon toelaat.

Voor de rest is het mij om het even, ieder OS zijn voor- en nadelen.
06-02-2020, 09:28 door [Account Verwijderd]
Door Bitje-scheef:
Door Anoniem: Link naar het artikel: https://news.softpedia.com/news/ten-year-old-sudo-bug-giving-root-privileges-to-any-user-gets-a-fix-529096.shtml

Het is een ernstig iets, maar gelukkig zijn er bepaalde voorwaarden nodig om deze kwetsbaarheid gevaarlijk te maken. En veel distro's hebben de voorwaarde die de kwetsbaarheid gevaarlijk maakt bij default uit staan. Dat dan weer wél...

Dit toont aan dat ook Linux en Unix niet onfeilbaar zijn (is ook onmogelijk!). Maar volgens mij heeft ook niemand beweerd dat deze systemen ongevoelig zijn voor kwetsbaarheden. Het blijft immers mensenwerk... ;-)

Wie beweert dat dan dat Linux/Unix/OpenBSD onfeilbaar is ? Het structuur van het OS zorgt alleen dat bepaalde zaken op een andere manier worden uitgevoerd, waardoor wel een hoop zaken worden afgevangen waar Windows dit gewoon toelaat.

Voor de rest is het mij om het even, ieder OS zijn voor- en nadelen.

De manier waarop jij zegt Linux/Unix/OpenBSD, daardoor ga ik ervan uit dat jij Windows gebruikt. Als dat zo is dan weet ik het antwoord niet want ik ken geen sudo in Windows. Maar OpenBSD is wel degelijk uniek in deze groep. Waarom? Omdat zij gaan voor kwaliteit van code. Als jij de link hebt gelezen die ik eerder opgaf dan komen wel een aantal zaken naar voren zoals :

Talking with deraadt and millert, however, I wasn’t quite alone. There were some concerns that sudo was too big, running too much code in a privileged process. And there was also pressure to enable even more options, because the feature set shipped in base wasn’t big enough. (As shipped in OpenBSD, the compiled sudo was already five times larger than just about any other setuid program.) Hurray, tension. It wasn’t the problem I was trying to solve, but it was an opening from which to launch my diabolical plan.
06-02-2020, 09:34 door Bitje-scheef
Door donderslag:

De manier waarop jij zegt Linux/Unix/OpenBSD, daardoor ga ik ervan uit dat jij Windows gebruikt. Als dat zo is dan weet ik het antwoord niet want ik ken geen sudo in Windows. Maar OpenBSD is wel degelijk uniek in deze groep. Waarom? Omdat zij gaan voor kwaliteit van code. Als jij de link hebt gelezen die ik eerder opgaf dan komen wel een aantal zaken naar voren zoals :

Talking with deraadt and millert, however, I wasn’t quite alone. There were some concerns that sudo was too big, running too much code in a privileged process. And there was also pressure to enable even more options, because the feature set shipped in base wasn’t big enough. (As shipped in OpenBSD, the compiled sudo was already five times larger than just about any other setuid program.) Hurray, tension. It wasn’t the problem I was trying to solve, but it was an opening from which to launch my diabolical plan.

Gevaarlijke aanname. Ik gebruik een mixed environment. OpenBSD even kijken...
https://www.openbsd.org/errata66.html

Ik ga ze niet tellen, maar zeker meer dan 10..
06-02-2020, 09:50 door Anoniem
Door Bitje-scheef:
Door Anoniem: Link naar het artikel: https://news.softpedia.com/news/ten-year-old-sudo-bug-giving-root-privileges-to-any-user-gets-a-fix-529096.shtml

Het is een ernstig iets, maar gelukkig zijn er bepaalde voorwaarden nodig om deze kwetsbaarheid gevaarlijk te maken. En veel distro's hebben de voorwaarde die de kwetsbaarheid gevaarlijk maakt bij default uit staan. Dat dan weer wél...

Dit toont aan dat ook Linux en Unix niet onfeilbaar zijn (is ook onmogelijk!). Maar volgens mij heeft ook niemand beweerd dat deze systemen ongevoelig zijn voor kwetsbaarheden. Het blijft immers mensenwerk... ;-)

Wie beweert dat dan dat Linux/Unix/OpenBSD onfeilbaar is ? Het structuur van het OS zorgt alleen dat bepaalde zaken op een andere manier worden uitgevoerd, waardoor wel een hoop zaken worden afgevangen waar Windows dit gewoon toelaat.

Voor de rest is het mij om het even, ieder OS zijn voor- en nadelen.

De Windows gebruikers beweren altijd dat Linux gebruikers beweren dat Linux onfeilbaar is. Wat natuurlijk niet waar is.
06-02-2020, 10:56 door Anoniem
Er is geen OS 100% veilig en dus ook Linux niet. Het aanvalsoppervlak is evenwel stukken kleiner.

Of dat ook zo blijft is koffiedik kijken, maar mijn visie is dat we af moeten van de digitale monocultuur. Ook in de plantenwereld leidt monocultuur tot grote schade als een ziekte uitbreek (denk maar eens aan 1000 hectare aardappelen waar een ziekte toeslaat: je hele oogst kan dan verloren zijn).
06-02-2020, 16:51 door Anoniem
Door Anoniem:
Expres was het zeker niet. Maarreh.... ik heb de patch al binnen. Meteen na het opstarten van de computer... PATS! En geïnstalleerd. Hoezo: "patch tuesday"? Gewoon meteen spijkers met koppen slaan, zoals het hoort. "Petsj" is voor Arch Linux en Manjaro al vrij gegeven. Ubuntu en Debian volgen snel.
Leuk met een chance management proces, ISO certificering en bijbehorende audits => #bigFail

Zo te zien werk jij dus niet in een Enterprise omgeving, want dit zou bij de meeste bedrijven meteen een leuk gesprek geven. En is juist iets waar hier zo vaak over gediscuteerd wordt. Je laat nu exact zien waar het verkeerd gaat.
06-02-2020, 17:00 door Anoniem
Presentatie van xoreaxeaxeax toont aan dat je direct naar root-privileges kunt springen via éen van de 1300 (undocumented) registers in de CPU.

Daar zit het grootste probleem.
06-02-2020, 18:18 door Anoniem
10 jaar lang en iedereen had de mogelijkheid om de sourcecode eens goed te bekijken.
Gelukkig wordt sudo nergens ook standaard zomaar geïnstalleerd.
Hoeveel overheden zullen dit al eerder gevonden hebben?

Hoe lang zal het duren voordat iedereen of iedere IOT leverancier deze update geïnstalleerd heeft staan?
06-02-2020, 20:54 door Anoniem
Door Anoniem:
Door Anoniem: Korte samenvatting: Als je zonodig sterretjes wil zien als je je wachtwoord typt dan is sudo lek. Nouja, was. De mitigatie is dan ook de sterretjes tijdens het wachtwoordtypen uitzetten. Die standaard toch al uitstonden. En geen Unixbaard die ze wil zien. Wat dan dus ook een reden is waarom niemand het lek voorheen gezien heeft.

Aluhoedjestijd: Het was expres. Maar door wie? En voor wie? Vragen, vragen.
Expres was het zeker niet. Maarreh.... ik heb de patch al binnen. Meteen na het opstarten van de computer... PATS! En geïnstalleerd. Hoezo: "patch tuesday"? Gewoon meteen spijkers met koppen slaan, zoals het hoort. "Petsj" is voor Arch Linux en Manjaro al vrij gegeven. Ubuntu en Debian volgen snel.

Geen sterretjes tijdens het typen in de terminal? Bij de meeste distro's inderdaad niet. Bij Linux Mint trouwens wel, want dáár is het weer aan gezet. Verder prima, want je kunt er alleen aan aflezen hoeveel karakters je hebt gebruikt voor je wachtwoord. Is dat zo'n probleem? Ik vind van niet.

Waar staat dat het beeldscherm het enige interface is waar dat kon?
Exploits worden bijna altijd in combinatie van andere exploits ingezet.
Dus weet jij nou werkelijk dat het beeldscherm het enige is waar wachtwoorden geteld en/of (mee)gelezen konden worden en dat ook gebeurde???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.