Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Linux polkit local privilege escalation bug maakt root privileges mogelijk.

11-06-2021, 18:01 door Anoniem, 20 reacties
Een bug in de polkit auth system service maakt het mogelijk root privileges te krijgen in oa. RHEL 8, Fedora 21 en Ubuntu 20.04.

Zie oa. https://www.bleepingcomputer.com/news/security/linux-system-service-bug-lets-you-get-root-on-most-modern-distros/ voor meer informatie.
Reacties (20)
11-06-2021, 21:13 door Anoniem
$ man polkit

+-------------------+
| Authentication |
| Agent |
+-------------------+
| libpolkit-agent-1 |
+-------------------+
^ +--------+
| | Client |
+--------------+ +--------+
| ^
| |
User Session | |
=======================|========================|=============
System Context | |
| |
| +---+
V |
/------------\ |
| System Bus | |
\------------/ |
^ ^ V
| | +---------------------+
+--------------+ | | Mechanism |
| | +---------------------+
V +----> | libpolkit-gobject-1 |
+------------------+ +---------------------+
| org.freedesktop. |
| PolicyKit1 |
+------------------+
| Backends and |
| Extensions |
+------------------+
12-06-2021, 02:28 door Anoniem
Polkit is used for controlling system-wide privileges. It provides an organized way for non-privileged processes to communicate with privileged ones. In contrast to systems such as sudo, it does not grant root permission to an entire process, but rather allows a finer level of control of centralized system policy.

Oh, de ironie

bron: https://wiki.archlinux.org/title/Polkit
12-06-2021, 05:48 door Anoniem
Dank voor de info, maar toch een opmerking: door slechts 11 tekens extra in te tikken maak je er een klikbare link van:
https://www.bleepingcomputer.com/news/security/linux-system-service-bug-lets-you-get-root-on-most-modern-distros/

Kan iemand die gewend is om die moeite consequent niet te doen eens uitleggen waarom je dat eigenlijk overslaat?
12-06-2021, 15:50 door Spiff has left the building
Door Anoniem, 11-06, 18:01 uur:
Een bug in de polkit auth system service maakt het mogelijk root privileges te krijgen in oa. RHEL 8, Fedora 21 en Ubuntu 20.04.

Zie oa. https://www.bleepingcomputer.com/news/security/linux-system-service-bug-lets-you-get-root-on-most-modern-distros/ voor meer informatie.
Security updates zijn beschikbaar voor Red Hat Enterprise Linux, Fedora, Debian testing en Ubuntu-familie.
Relevant is uiteraard wel dat die updates ook daadwerkelijk toegepast zijn of worden.
12-06-2021, 23:17 door Anoniem
Vanwaar deze ophef? heeft het een zero day. Is het kritiek?
13-06-2021, 14:10 door Anoniem
Door Anoniem: Vanwaar deze ophef?

Distribution Vulnerable?
---------------------------------------
RHEL 7 No
RHEL 8 Yes
Fedora 20 (or earlier) No
Fedora 21 (or later) Yes
Debian 10 (“buster”) No
Debian testing (“bullseye”) Yes
Ubuntu 18.04 No
Ubuntu 20.04 Yes
---------------------------------------

https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/

Heeft het een zero day?

Hangt er van af.

Is het kritiek?

Niet in mijn geval.
14-06-2021, 00:30 door [Account Verwijderd]
Door Anoniem: Vanwaar deze ophef? heeft het een zero day. Is het kritiek?

Er zijn zelfs al security updates beschikbaar! De enige ophef die je zou kunnen zien is dat het probleem zo verbluffend snel is opgelost. Daar kunnen de 'patch Tuesday' rommelaars, met hun spaghetticode voor lichte consumententoepassingen nog een puntje aan zuigen. Maar goed, misschien dwaal ik een beetje af.
14-06-2021, 07:32 door Anoniem
Door Anoniem: Dank voor de info, maar toch een opmerking: door slechts 11 tekens extra in te tikken maak je er een klikbare link van:
https://www.bleepingcomputer.com/news/security/linux-system-service-bug-lets-you-get-root-on-most-modern-distros/

Kan iemand die gewend is om die moeite consequent niet te doen eens uitleggen waarom je dat eigenlijk overslaat?
Omdat we klikbare links niet vertrouwen en/of we niet weten welke 11 tekens het zijn. :)
14-06-2021, 08:32 door Anoniem
Door Toje Fos:
Door Anoniem: Vanwaar deze ophef? heeft het een zero day. Is het kritiek?

Er zijn zelfs al security updates beschikbaar! De enige ophef die je zou kunnen zien is dat het probleem zo verbluffend snel is opgelost. Daar kunnen de 'patch Tuesday' rommelaars, met hun spaghetticode voor lichte consumententoepassingen nog een puntje aan zuigen. Maar goed, misschien dwaal ik een beetje af.

Er is een oplossing, goed zo. Maar het patch Tuesday verhaal is er om een andere reden dan het niet kunnen patchen. Wat we niet weten is, hoeveel bedrijven de patch al hebben geïnstalleerd en of daarbij belangrijke processen zijn omgevallen. Het patch Tuesday is ontstaan, omdat dan in te plannen is, wanneer er patches komen en hoe je ze snel kunt invoeren.

Voor die tijd kwamen ze ook te hooi en te gras, wat bij automatisch doorvoeren nog wel eens tot onwenselijke uitval leidde. Of tot het blokkeren en uitstellen tot Sint Juttemis, omdat de processen door moesten blijven gaan.
14-06-2021, 22:09 door Anoniem
Door Toje Fos:
Door Anoniem: Vanwaar deze ophef? heeft het een zero day. Is het kritiek?

Er zijn zelfs al security updates beschikbaar! De enige ophef die je zou kunnen zien is dat het probleem zo verbluffend snel is opgelost. Daar kunnen de 'patch Tuesday' rommelaars, met hun spaghetticode voor lichte consumententoepassingen nog een puntje aan zuigen. Maar goed, misschien dwaal ik een beetje af.
Of het wordt zo lang onder de pet gehouden, totdat er een oplossing!
15-06-2021, 08:09 door Bitje-scheef
Of het wordt zo lang onder de pet gehouden, totdat er een oplossing!

Wat denk je zelf ? Dit was gewoon goed gedocumenteerd.
15-06-2021, 12:38 door walmare - Bijgewerkt: 15-06-2021, 12:38
Door Anoniem:
Door Toje Fos:
Door Anoniem: Vanwaar deze ophef? heeft het een zero day. Is het kritiek?

Er zijn zelfs al security updates beschikbaar! De enige ophef die je zou kunnen zien is dat het probleem zo verbluffend snel is opgelost. Daar kunnen de 'patch Tuesday' rommelaars, met hun spaghetticode voor lichte consumententoepassingen nog een puntje aan zuigen. Maar goed, misschien dwaal ik een beetje af.

Er is een oplossing, goed zo. Maar het patch Tuesday verhaal is er om een andere reden dan het niet kunnen patchen. Wat we niet weten is, hoeveel bedrijven de patch al hebben geïnstalleerd en of daarbij belangrijke processen zijn omgevallen. Het patch Tuesday is ontstaan, omdat dan in te plannen is, wanneer er patches komen en hoe je ze snel kunt invoeren.

Voor die tijd kwamen ze ook te hooi en te gras, wat bij automatisch doorvoeren nog wel eens tot onwenselijke uitval leidde. Of tot het blokkeren en uitstellen tot Sint Juttemis, omdat de processen door moesten blijven gaan.
Nee dat is het verhaal niet. Microsoft heeft geen fatsoenlijke CI/CD ingericht en in een gesloten ontwikkel/bouwomgeving is testen per definitie een probleem voor leveranciers van eigen software en waarschijnlijk voor Microsoft zelf ook maar goed we dwalen af het gaat over Linux patchen.
Wat ze in Linux distro's veel beter hebben geregeld is het respecteren van settings (dat gaat zo vaak fout bij consumenten oplossingen). Handigheid hierbij is je eigen drop-infiles: https://www.redhat.com/sysadmin/etc-configuration-directories
Ook rpmnew en rpmsave files zijn voor een RPM distro belangrijk om de zaak niet te vernaggelen.
15-06-2021, 13:27 door Anoniem
https://www.bleepingcomputer.com/news/security/linux-system-service-bug-lets-you-get-root-on-most-modern-distros/

The polkit local privilege escalation bug (tracked as CVE-2021-3560) was publicly disclosed, and a fix was released on June 3, 2021.
It was introduced seven years ago in version 0.113 and was only recently discovered by GitHub Security Lab security researcher Kevin Backhouse.
Even though many Linux distributions haven't shipped with the vulnerable polkit version until recently, any Linux system shipping with polkit 0.113 or later installed is exposed to attacks.

Hoog tijd voor een versie check. Als ik nu in de terminal intik:
polkit --version
volgt een foutmelding "Command 'polkit' not found".
Ter controle
libreoffice --version
geeft zonder probleem "LibreOffice 6.0.7.3 00m0(Build:3)"

Ok, ik typ dit op een Xubuntu 18.04, en die is volgens bovenstaand bericht niet kwetsbaar, maar Ubuntu 20.04 weer wel. Waardoor wordt dit veroorzaakt? Gebruikt Xubuntu 18.04 geen polkit?
15-06-2021, 15:03 door Anoniem
Door Anoniem: Als ik nu in de terminal intik:
polkit --version
volgt een foutmelding "Command 'polkit' not found".

Vraag ook de eens de geïnstalleerde versies van de 'pkexec' of 'pkcheck' utilities op, in plaats van alleen maar polkit:

$ pkexec --version
pkexec version 0.105

Onder Debian en afgeleiden staan de library packages van polkit onder een andere, langere naam geïnstalleerd:

$ apt list --installed | grep polkit
15-06-2021, 16:36 door Anoniem
Ik zit hier op een fedora 33 desktop en daar is niet eens polkit geinstalleerd.
15-06-2021, 20:03 door Anoniem
Door Anoniem 15:03 :
Door Anoniem 13:27 : Als ik nu in de terminal intik:
polkit --version
volgt een foutmelding "Command 'polkit' not found".

Vraag ook de eens de geïnstalleerde versies van de 'pkexec' of 'pkcheck' utilities op, in plaats van alleen maar polkit:

$ pkexec --version
pkexec version 0.105

Onder Debian en afgeleiden staan de library packages van polkit onder een andere, langere naam geïnstalleerd:

$ apt list --installed | grep polkit

Dank voor deze reactie, spot on !!
Resultaat voor (X)ubuntu 18:04:
~$ pkexec --version
pkexec version 0.105
~$ pkcheck --version
pkcheck version 0.105
~$ apt list --installed | grep polkit
WARNING: apt does not have a stable CLI interface. Use with caution in scripts.
gir1.2-polkit-1.0/bionic-updates,bionic-security,now 0.105-20ubuntu0.18.04.5 amd64 [installed]
libpolkit-agent-1-0/bionic-updates,bionic-security,now 0.105-20ubuntu0.18.04.5 amd64 [installed]
libpolkit-backend-1-0/bionic-updates,bionic-security,now 0.105-20ubuntu0.18.04.5 amd64 [installed]
libpolkit-gobject-1-0/bionic-updates,bionic-security,now 0.105-20ubuntu0.18.04.5 amd64 [installed]
libpolkit-qt5-1-1/bionic,now 0.112.0-5 amd64 [installed,automatic]
Ubuntu 20:04 kan ik morgen testen, maar ik verwacht een latere versie dan de kwetsbare polkit v0.113, volgens bovenstaande link is is de fix op 3 juni uitgebracht.
16-06-2021, 14:10 door Anoniem
Door Anoniem: Ik zit hier op een fedora 33 desktop en daar is niet eens polkit geinstalleerd.

Dan moet je beter zoeken, want als ik mij niet vergis heeft RedHat polkit ontwikkeld en was Fedora de eerste vrije distributie die het kreeg ingebouwd. Fedora is gebaseerd op RedHat.
16-06-2021, 16:18 door Anoniem
Ubuntu 20:04 kan ik morgen testen, maar ik verwacht een latere versie dan de kwetsbare polkit v0.113, volgens bovenstaande link is is de fix op 3 juni uitgebracht.
Klop. Ook de versienummers 20.10 en 21.04 hebben die updates al binnen.
https://ubuntu.com/security/notices/USN-4980-1
16-06-2021, 18:06 door Anoniem
Door Anoniem:
Door Anoniem: Ik zit hier op een fedora 33 desktop en daar is niet eens polkit geinstalleerd.

Dan moet je beter zoeken, want als ik mij niet vergis heeft RedHat polkit ontwikkeld en was Fedora de eerste vrije distributie die het kreeg ingebouwd. Fedora is gebaseerd op RedHat.
Nee Redhat is gebaseerd op fedora en dat is nu recent centos streams. Op fedora33 zit versie 0.117
19-06-2021, 17:30 door [Account Verwijderd]
Polkit
Systemd
En de moderne kernels

Je verwacht het niet;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.