image

Lemmings-lek in Ubuntu kan lokale gebruiker rootrechten geven

vrijdag 18 februari 2022, 12:25 door Redactie, 9 reacties

Onderzoekers van securitybedrijf Qualys hebben een kwetsbaarheid in Ubuntu gevonden waardoor een ongeprivilegieerde gebruiker rootrechten kan krijgen. Er zijn updates uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2021-44731 en "Oh Snap! More Lemmings", is aanwezig in Snap, een door Canonical ontwikkelde packagemanager voor Linux.

De packages worden snaps genaamd en zijn via de tool snapd te gebruiken. Ze werken op allerlei Linux-distributies en maken het mogelijk voor softwareontwikkelaars om hun applicaties direct onder gebruikers te verspreiden. Snaps zijn 'self-contained' applicaties die binnen een eigen sandbox draaien. Snapd maakt gebruik van het SUID-root programa snap-confine om de omgeving voor snap-applicaties te genereren.

Vanwege de 31ste verjaardag van het computerspel Lemmings besloot Qualys de kwetsbaarheid hiernaar te vernoemen. Het beveiligingslek wordt veroorzaakt door een zogeheten race-condition in snap-confine waardoor een lokale gebruiker zonder rechten uiteindelijk code met rootrechten kan uitvoeren, zoals hieronder wordt uitgelegd. De standaardinstallatie van Ubuntu Desktop is kwetsbaar. In het geval van Ubuntu Server gaat het om een "bijna" standaardinstallatie, aldus de onderzoekers. Ubuntu werd op 27 oktober vorig jaar over het lek ingelicht en kwam begin deze maand met updates.

Image

Reacties (9)
18-02-2022, 12:59 door [Account Verwijderd] - Bijgewerkt: 18-02-2022, 13:04
...Ze (snap ondersteunde software) werken op allerlei Linux-distributies en maken het mogelijk voor softwareontwikkelaars om hun applicaties direct onder gebruikers te verspreiden.

Dat is nu precies de reden waarom ik (X)Ubuntu heb verlaten.
Naar ik begrijp gaat In Linux Mint iets vergelijkbaars plaatsvinden met de Firefox updates die straks - zonder controle = vertraging door de officiële Linux pakketbron - wordt aangeboden bij de gebruikers omdat het rechtstreeks via Mozilla sneller gaat.

Actueel: Toevallig zie ik nu, 12:57 uur, dat er een update klaar staat in bijwerkbeheer voor Firefox (97.0 > 97.0.1)
In de zeer naaste toekomst zie ik dus waarschijnlijk in Linux Mint hetzelfde als ik voorheen meemaakte in Windows: Bij oproepen van het menuonderdeel 'Over Firefox' las ik in geval van updates: 'Firefox zal worden bijgewerkt na een herstart'.

Of zie ik dat verkeerd?

Bij voorbaat dank voor eventuele correcties!
18-02-2022, 13:07 door Anoniem
Ja, dat zie je verkeerd. In Mint kan je er altijd voor kiezen om een update wel of niet [meteen] te installeren.
Er wordt geen enkele update 'door de strot geduwd'.
18-02-2022, 14:02 door Anoniem
Wie de laatste Firefox versie in Ubuntu wil installeren (en af wil van de verouderde versie via Ubuntu Software), kan dit doen via de onderstaande methode die beschreven is op de onderstaande website:
https://vitux.com/4-ways-to-install-mozilla-firefox-in-ubuntu/

Scrol naar methode 3 op de website.

Ik heb deze methode toegepast op Ubuntu 20.04 LTS en het werkt perfect.
De nieuwste versie van Firefox wordt dan binnengehaald via verschillende Terminal opdrachten.

Wat ik zelf gedaan heb is:

$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys A6DCF7707EBC211F
$ sudo apt-add-repository "deb http://ppa.launchpad.net/ubuntu-mozilla-security/ppa/ubuntu bionic main"
$ sudo apt-get update
$ sudo apt-get install firefox
$ firefox

De laatste Terminal opdracht start Firefox op in het systeem.
18-02-2022, 14:14 door [Account Verwijderd] - Bijgewerkt: 18-02-2022, 14:15
Door Anoniem: Ja, dat zie je verkeerd. In Mint kan je er altijd voor kiezen om een update wel of niet [meteen] te installeren.
Er wordt geen enkele update 'door de strot geduwd'.

Of je begrijpt/leest niet wat ik bedoel, en/of je bent teveel gefixeerd op het updatemodel van Linux zoals dat algemeen gaat.

Anders dan: In samenwerking met Mozilla is Linux een model aan het ontwikkelen waarbij updates niet meer via de tot nu voor Linux gebruikelijke kanalen komen. Een voorschot daarop zie je al in de pop-up: 'over Mozilla Firefox'.
Daarin lees je nu: 'Updates zijn uitgeschakeld door uw systeembeheerder'; waar met systeembeheerder wordt bedoeld: De officiële Linux pakketbron.

Daarnaast zie in about:policies#active dat je de waarde 'true' voor DisableAppUpdate niet kunt veranderen naar False omdat de Linux distributie voor Firefox nog niet is geprogrammeerd op updates rechtstreeks via Mozilla.
18-02-2022, 14:44 door Anoniem
Het mooie aan een Linux OS is dat er veel oplossingen zijn voor 1 probleem.
Volgens mij is het nadeel van snapd dat hier Ubuntu in control is(en dus Microsoft, zie win11 wls)
Daarom houd ik mij bij flatpack. Is in ieder geval alles zeker open source en spotify werkt er prima in. Hoewel ik dat nu ook kan verlaten want er is een native Spotify client (spot) voor de GNOME desktop.
Een nadeel van die container technologie is dat die ingepakte bibliotheken ook onderhouden moeten worden. Dan hebben we het nog niet over de communicatiebus tussen die desktop containers. Dat zie ik de grote commerciële bedrijven niet zo snel doen. Ik werk namelijk voor zo'n groot bedrijf en zie tot mijn ergenis dat alle resources naar windows onderhoud gaan, waardoor de Linux kant wordt verwaarloosd.
18-02-2022, 15:59 door Anoniem
Door Anton Bleekers: Anders dan: In samenwerking met Mozilla is Linux een model aan het ontwikkelen waarbij updates niet meer via de tot nu voor Linux gebruikelijke kanalen komen.
Ik denk dat je dat verkeerd begrepen hebt. Op de website van Linux Mint staat (10 januari 2022 geschreven):
Firefox will continue to be distributed as .deb packages through the official Linux Mint repositories. Its configuration and the way it is built is changing to make the Linux Mint version of Firefox much more similar (almost identical in fact) to the version which is distributed by Mozilla.
https://blog.linuxmint.com/?p=4244
De updates blijven via de Mint-repository's komen, via je normale upgrade-proces dus. Wat je via die weg krijgt bevat alleen minder verschillen met de versie van Mozilla dan voorheen.

Een voorschot daarop zie je al in de pop-up: 'over Mozilla Firefox'.
Daarin lees je nu: 'Updates zijn uitgeschakeld door uw systeembeheerder'; waar met systeembeheerder wordt bedoeld: De officiële Linux pakketbron.

Daarnaast zie in about:policies#active dat je de waarde 'true' voor DisableAppUpdate niet kunt veranderen naar False omdat de Linux distributie voor Firefox nog niet is geprogrammeerd op updates rechtstreeks via Mozilla.
Wat je daar ziet geeft aan dat niet het updateproces van Firefox wordt gebruikt maar dat het via het updateproces van Mint loopt. En daar gaat niets aan veranderen, afgaande op wat ik van de website van Mint citeerde.
18-02-2022, 18:09 door Anoniem
Door Anton Bleekers:
Door Anoniem: Ja, dat zie je verkeerd. In Mint kan je er altijd voor kiezen om een update wel of niet [meteen] te installeren.
Er wordt geen enkele update 'door de strot geduwd'.

Of je begrijpt/leest niet wat ik bedoel, en/of je bent teveel gefixeerd op het updatemodel van Linux zoals dat algemeen gaat.

Anders dan: In samenwerking met Mozilla is Linux een model aan het ontwikkelen waarbij updates niet meer via de tot nu voor Linux gebruikelijke kanalen komen. Een voorschot daarop zie je al in de pop-up: 'over Mozilla Firefox'.
Daarin lees je nu: 'Updates zijn uitgeschakeld door uw systeembeheerder'; waar met systeembeheerder wordt bedoeld: De officiële Linux pakketbron.

Daarnaast zie in about:policies#active dat je de waarde 'true' voor DisableAppUpdate niet kunt veranderen naar False omdat de Linux distributie voor Firefox nog niet is geprogrammeerd op updates rechtstreeks via Mozilla.

Natuurlijk gaat het update model niet veranderen want dat is nu net het sterke punt. Als applicaties zichzelf gaan updaten krijg je het MS model en kunnen zo maar je settings overschreven worden. Niet elke installatie is het zelfde voor elke distro.
18-02-2022, 18:22 door Piscatorius
Door Anoniem: Wie de laatste Firefox versie in Ubuntu wil installeren (en af wil van de verouderde versie via Ubuntu Software), kan dit doen via de onderstaande methode die beschreven is op de onderstaande website:
https://vitux.com/4-ways-to-install-mozilla-firefox-in-ubuntu/

Scrol naar methode 3 op de website.

Ik heb deze methode toegepast op Ubuntu 20.04 LTS en het werkt perfect.
De nieuwste versie van Firefox wordt dan binnengehaald via verschillende Terminal opdrachten.

Wat ik zelf gedaan heb is:

$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys A6DCF7707EBC211F
$ sudo apt-add-repository "deb http://ppa.launchpad.net/ubuntu-mozilla-security/ppa/ubuntu bionic main"
$ sudo apt-get update
$ sudo apt-get install firefox
$ firefox

De laatste Terminal opdracht start Firefox op in het systeem.

Wie zich doelbewust buiten de gebaande paden begeeft, moet wel blijven opletten. Je draait focal (Ubuntu 20.04), maar haalt nu wel volgens de aanwijzingen van een of andere website een versie van Firefox binnen die voor bionic (Ubuntu 18.04) is bedoeld. Dat is vragen om problemen. Selecteer altijd alleen PPA's die de versie van Ubuntu ondersteunen die je gebruikt.

Link: https://launchpad.net/~ubuntu-mozilla-security/+archive/ubuntu/ppa
18-02-2022, 18:48 door Anoniem
Ach Het zal met een patch wel geupdated kunnen worden wat Ubuntu (canonical) uitbrengt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.