image

Ubuntu 'needrestart' kwetsbaarheid laat lokale gebruiker root worden

donderdag 21 november 2024, 17:05 door Redactie, 3 reacties

Vijf kwetsbaarheden in needrestart, een tool die standaard wordt mee geïnstalleerd met Ubuntu Server sinds versie 21.04, maakt het mogelijk voor een lokale gebruiker om willekeurige code als root uit te voeren. De beveiligingslekken zijn in de nieuwste versie van needrestart (versie 3.8) verholpen. Needrestart is een tool die het systeem scant om te kijken of het systeem of services herstart moeten worden.

De tool controleert met name op services die verouderde gedeelde libraries gebruiken, zoals wanneer een library tijdens een package-update is vervangen. Omdat het in de server-images is geïntegreerd wordt needrestart automatisch gestart na APT-operaties zoals install, upgrade of remove. Securitybedrijf Qualys vond verschillende 'fundamentele kwetsbaarheden' in de tool waar een lokale aanvaller misbruik van kan maken.

Zo kan een lokale aanvaller willekeurige als root uitvoeren door needrestart de Ruby of Python interpreter te laten uitvoeren met een door de aanvaller gecontroleerde omgevingsvariabele. Een andere kwetsbaarheid betreft een 'race condition' waardoor een aanvaller zijn eigen, fake Python interpreter door needrestart kan laten uitvoeren. Ook kan een aanvaller via needrestart de ScanDeps module van Perl aanroepen met zijn eigen malafide bestanden.

Qualys, dat de kwetsbaarheden 'alarmerend' noemt, zegt dat het vooralsnog geen exploitcode beschikbaar stelt. Het securitybedrijf waarschuwt dat de beveiligingslekken in kwestie eenvoudig te misbruiken zijn en andere onderzoekers mogelijk wel met exploits zullen komen.

Reacties (3)
21-11-2024, 18:51 door MathFox - Bijgewerkt: 21-11-2024, 18:52
Debian heeft een beveiligingsupdate uitgebracht, maar het needrestart pakket wordt niet standaard geïnstalleerd.
https://lists.debian.org/debian-security-announce/2024/msg00229.html
21-11-2024, 21:09 door Anoniem
Ik zeg altijd doe ubuntu maar voor thuis en op het werk RedHat Linux.
22-11-2024, 09:50 door Anoniem
Dit is sowieso een vervelende feature die wel te omzeilen is maar het blijft een vreemde default.
Uiteraard wil ik op een productie omgeving niet de webserver herstarten als ik een ongerelateerde tool installeer.
Begrijp de goede bedoeling er achter wel maar een wat minder ervaren gebruiker heeft snel de neiging door te enteren en dit kan onbedoelde effecten hebben.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.