Sårbarhet avdekket i Linux-kjernen

[Beritaron]

Tror nok de fleste Linuxbrukere er åpne for kritikk, men tror nok veldig mange Linux-brukere ikke kjenner seg igjen i den kritikken mange Windowsbrukere kommer med. Et par eksempler:

 

*Man må bruke terminalen for å få til ting.

-I distroer som f.eks Ubuntu vil man nok i de fleste tilfeller ikke trenge å bruke terminalen.

 

*At Linux ikke støtter Windows-spill, drivere til HW, osv.

-Det er et problem, men det er ikke Linux som ikke støtter dette, men utviklere som ikke søtter Linux.

 

*At man må lese flere sider med dokumentasjon for å installere programvare i Linux:

-Å installere programvare i Linux vil nok de fleste som har brukt Linux i en liten stund mene er enklere å installere enn i Windows.

 

*At man ikke kan tjene penger på å utvikle fri programvare.

-Det er nok av eksempler fra store selskaper som har betalte utviklere som hjelper til med å utvikle programvare som er frie.

 

*At Linux kun blir laget av tennåringsgutter på gutterommet.

-Sikkert noen av dem også, ikke det at de trenger å være dårlige av den grunn, men som nevnt i en artikkel her på HW med liste over hvem som bidrar mest på Linux-kjernen, er det større selskaper med utdannede personer som bidrar.

 

*At noen skal begynne å hyle og mase om at Linux er usikkert fordi det er avdekket en sårbarhet i Linux, eller komme med påstander om at de fleste Linuxbrukere mener at deres OS er fritt for sårbarheter.

-De fleste som bruker Linux vil jeg anta er klar over at alle OS og all programvare kan inneholde sårbarheter, tviler på at dette gjør Linux mindre sikkert enn Windows og har fått følelsen av at åpen kildekodemiljøet tar sikkerhet mer på alvor da de kommer med fikser stort sett ganske raskt etter sårbatheten har blitt oppdaget.

 

*Linux ser stygt ut.

-En totalt subjektiv påstand sitert som fakta, som også er lite spesifisert.

 

 

Det er bare å se i denne tråden så ser man hva jeg mener. Gudskjelov er ikke alle slik.

Kan ikke si at jeg ser så mye til det i denne tråden her, og at mye av kritikken som er rettet mot Linux gjenspeiler seg i det cmyrland skriver:

 

"Alltid like moro å observere alle anti-linux-folka begynne å trolle som besatte så snart de har noe å gripe fatt i. Samme om det er verdens tynneste halmstrå. Feilen ble fikset allerede før saken her ble trykket, så dette er egentlig et ikke-tema."

 

Har fått mye av det samme inntrykket, men angående det siste han skriver mener jeg selv at dette er et viktig-tema.

Endret 23. august 2009 av tamarin

[Theo343]

Tja, Nyhus har ennå til gode å dokumentere hva han sikter til. Det noen oppfatter som et troll, kan andre oppfatte som opphetet eller fortvilt diskusjon. Kan i grunnen bare komme på en anti-MS bruker som kan oppfattes som troll, men vedkommende har ikke postet på lenge, og jeg kan ikke huske vedkommende som aktiv i linuxdelen.

 

Personlig reagerer jeg ofte sterkt på uriktig negativ kritikk av GNU/Linux. MS har over noen år mørnet meg med sin Get the facts kampanje, som er blind propaganda. Når jeg ser MS-propaganda gjentatt her som almengyldige sannheter er det svært vanskelig for meg å holde hodet kaldt.

Personlig har jeg flere ganger reagert sterkt på uriktig kritikk og faktafeil ift. MS selv fra redaksjonen og sterke Linux personligheter her i forumet (ikke deg). Denne tråden har dog vært en av de mer ryddige.

 

"Alltid like moro å observere alle anti-linux-folka begynne å trolle som besatte så snart de har noe å gripe fatt i. Samme om det er verdens tynneste halmstrå. Feilen ble fikset allerede før saken her ble trykket, så dette er egentlig et ikke-tema."

Det som var interessant i denne saken er at feilen har eksistert så lenge som den har gjort og man har ingen garanti for at ingen andre har oppdaget denne feilen før den ble publisert gjennom nevnte media.

 

Halmstråbeskrivelsen gjelder begge leire og uvitenhet om det andre OSet er ofte grunnlag for myter og faktafeil som brukes i alle retninger.

Bortforklaringer er det også nok av begge steder. Personlig er jeg en av de som skulle ønske man kunne ha en konstruktiv debatt på tvers av plattformer. Mange bidrar til det så missforstå meg rett.

 

Men som sagt denne tråden er en av de roligere.

Endret 24. august 2009 av Theo343

[Beritaron]

@Theo343:

Det er egentlig ikke meg du siterer der, men et tidligere innlegg fra cmyrland, som jeg også skrev i innlegget. Og jeg skrev selv at jeg var enig i at jeg oppfatter mye av denne kritikken rettet mot Linux på samme måte, men skrev at jeg alikevel ikke ser på dette som et ikke-tema.

 

Det er ingen her som har nektet på det du skriver. Dette er en feil som brude vært oppdaget tidligere, alikevel så ble feilen fort fikset når den ble oppdaget. Sårbarheten var heller ikke kritisk, og for de fleste hjemmebrukere vil de ikke være utsatt.

 

Bortforklaringer er det ikke mye å finne i denne tråden, og tror nok de fleste tar slike sårbarheter på alvor, men ikke noe poeng i å gjøre mer ut av det enn det det er.

[Gjest Slettet-qfohT7]

Mulig jeg har misforstått, men var det slik at denne feilen gjorde at man kunne tilegne seg administrator/root rettigheter med en vanlig bruker konto ? Som for eksempel på et web-hotell og lignende ?

 

Isåfall ville jeg etter mine standarder karakterisere den som rimelig kritisk ?

[Beritaron]

Selv synes jeg det også er litt rart at denne sårbarheten har fått status "Less critical" av Secunia, som Bolson tidligere skrev i et innlegg. Vet ikke hva andre slike kilder anser sårbarheten som, men en del nyhetssider og forumtråder omtaler den som kritisk.

Endret 24. august 2009 av tamarin

[Nordmoen]

Sånn som jeg tolker Bolson her, så må du faktisk hacke en vanlig bruker konto deretter må man kjøre et script som så gir deg tilgang. Altså ganske mye en må igjennom og siden det foreligger ganske få exploits for å hacke en vanlig konto(som jeg vet) så er det lite sannsynlig.

Ikke særlig mange tror jeg - derfor vurderer Secunia hullet som mindre kritisk. Man må faktisk inn på en vanlig brukerkonto først for å klare å kjøre disse potensielle skriptene som kan gi roottilgang. Kontoer av den typen som Linux lager en del av kan ikke brukes (postfix, www-data etc) så langt jeg har forstått beskrivelsen av sårbarheten.

 

Sårbarheten kan ikke brukes til remote access i seg selv, altså må en brukerkonto hackes først.

 

Det som kan være reelt utsatt er webhotell med mange brukere, shelltilgang og litt halvdårlige sikkerhetsrutiner. Men det er mulig med et par enkle grep å stenge muligheten.

 

En vanlig desktop LinuxPC er faktisk vurdert som lite utsatt, og rådet er faktisk å vente til distroen har oppgraderingen på plass.

Ps. min uthevning

[Beritaron]

Gjelder sårbarheten om man har en brukerkonto på en server med mange brukere? I såfall så er man ikke sikre på at alle som har tilgang har gode hensikter.

Endret 24. august 2009 av tamarin

[cyclo]

Slik har jeg forstått det. Dog er det ikke nødvendigvis trivielt å utføre. Og derfor, om jeg har forstått det riktig, er dette hullet regnet som kritisk for flerbrukerservere og ukritisk for alt annet.

[Bolson]

Selv synes jeg det også er litt rart at denne sårbarheten har fått status "Less critical" av Secunia, som Bolson tidligere skrev i et innlegg. Vet ikke hva andre slike kilder anser sårbarheten som, men en del nyhetssider og forumtråder omtaler den som kritisk.

 

Grunnen til at de kommenteres som "kritisk" på nyhetsteder er vel helst fordi den når man har tilgang til brukerkonto er forholdsvis enkel å kjøre. Om systemet har disse PF protokollene installert og opp og går.

 

Secunia sin vurdering bygger som både Nordmoen og cyclo peker på at de fleste Linux installasjoner faktisk ikke er så sårbare, enten fordi de har få brukerkontoer eller fordi omtrent alle sårbare protokoller er avslått på en ren server. Men at en sårbarhet er mindre kritisk betyr ikke at man skal ta den mindre alvorlig.

 

Webhotell som er dårlig drifta er vel som jeg har nevnt tidligere det største sikkerhetsproblemet, også fordi man der kan ha "utro" kunder. Nå kan man sperre protokollene om man vil, og det finnes flere verktøy som kan brukes for å unngå problemet om man av en eller annen grunn ikke kan patche.

 

Apropos, de fleste distroene kom vel med patch (sendpage) i slutten av forrige uke.

[Theo343]

Man må vel ikke "hacke" en vanlig brukerkonto. Man kan forsøke seg manuelt på en del standard kontoer med sløve passord som ofte brukes på disse med lavere tilgangsnivåer.

[cyclo]

Eh hvilke sløve kontoer med standardpassord er det egnentlig du tenker på? Kontoen behøver shell og innloggingsmuligheter ergo er man begrenset til vanlige brukerkontoer.

[Theo343]

Enhver standard brukerkonto (reduserte rettigheter i systemet) med sløve passord. Forstår ikke hvordan det var vanskelig å oppfatte.

Endret 25. august 2009 av Theo343

[Sokkalf™]

Den eneste "standard" brukerkontoen er jo root. For andre brukerkontoer må man gjette både brukernavn og passord, noe som ikke alltid er så lett selv om passordet er dårlig.

 

Når det gjelder andre kontoer som f.eks "apache", "imap" etc, så er disse ikke enablet med login uansett, så man kommer ikke inn uansett hvor hardt man prøver.

[Bolson]

Som cyclo forstår jeg heller ikke hva du skal fram til. Linux har da ikke standard brukerkontoer med standard passord eller sløve passord. Normale brukerkontoer vil variere i navn fra installasjon til installasjon. At det er mulig med "automatiserte" innbruddsforsøk, hvor man sender potensielle brukernavn med mengder av potensielle passord kan brukes. Men Linux forteller deg ikke om brukernavnet finnes eller om det er rett brukernavn med feil passord. Svaret er det samme uansett.

 

Det kan være noe enklere å bryte seg inn på webhotell, i og med at enkelte aktører der setter opp brukernavn som samstemmer med domenenavn. Alle gjør ikke dette, faktisk velger fler og fler å bruke avvikende brukernavn. Vet du aktuelle brukernavn er det bare å prøve "bruteforce". Og det er en fullt mulig fremgangsmåte.

 

Systemkontoer som www-data, postfix, nx, mysql, crontab etc skal ikke ha muligheten til innlogging i det hele og har heller ikke passord i vanlig forstand. Kjørerettighetene til disse er også sterkt begrenset. Ja, det finnes mange av disse, og sikkerhetshull i applikasjonene disse kjører kan være alvorlig å gi muligheter til uautoriserte innbrudd. Noe jeg selv har opplevd i tidligere dager.

 

Så i realiteten skal følgende til for å klare å utnytte denne.

1. Du må være heldig nok (eller bruteforce nok) til å treffe kombinasjonen brukernavn/passord. Det er ikke verdens største sannsynlighet.

 

eller

 

2. Du må kjenne (eller rasjonelt avgrense) aktuelle brukernavn og bruteforce passord på disse.

 

eller

 

3. Du må være eksisterende bruker med onde hensikter.

[Theo343]

Korrekt det Bolson og takk for utdypningen.

Endret 25. august 2009 av Theo343

[Gjest Slettet+9871234]

Er det mogleg å kombinere denne sårbarheita med ei sårbarheit i, til dømes Apache?

 

Til dømes så er det eit hol i Apache sånn at ein crackar får tilgong til å køyre kommandoar som apachebrukaren, også hever han rettane hans til root og kompromitterer systemet heilt?

Endret 26. august 2009 av Slettet+9871234

[Sokkalf™]

Er det mogleg å kombinere denne sårbarheita med ei sårbarheit i, til dømes Apache?

 

Til dømes så er det eit hol i Apache sånn at ein crackar får tilgong til å køyre kommandoar som apachebrukaren, også hever han rettane hans til root og kompromitterer systemet heilt?

 

Ja, det skal være mulig. Apache i seg selv er nok ganske sikker, men jeg kan tenke meg det finnes mange dårlige PHP-apps der ute som er sårbare..

[Spetsnaz]

Secunia tar sikkert hensyn til at det ikke har blitt utnyttet i stor skala og ble patchet raskt.

 

Linus selv beskrev jo i sedvante (friske) ordelag dette hullet, det var godt å høre, forsøkt dysset ned ville det bare skadet omdømmet til linux-kjernen og fri programvare generellt.

 

Slike feil kodes også inn i linux, og spørsmål som stikker dypere enn at det ikke går ann, besvares best ved å ordne i syskrinet, raskt.

Endret 28. august 2009 av Spetsnaz

[Bolson]

@Torswin:

Skal ikke være mulig å bruke Apachebrukeren så vidt jeg har forstått. Men nå kjører f.eks webhotell ofte en annen bruker på det området, derfor kan det nok være muligheter for å komme inn den døra. Men generelt er dette lite sannsynlig.

 

Men sårbarheter i Webapps kompromitterer sjelden serveren i seg selv, problemet her er primært andre ting.

 

@Spetsnaz:

 

Secunia bryr seg ikke om hvor fort noe blir patchet når det gjelder vurdering av sårbarhet. Vurderingen bygger kun på en analyse hvor sannsynlighet og konsekvens er vel de viktigste faktorene. Jeg har blitt forklart det en gang, men husker ikke detaljene.

 

Linuxmiljøet, gjelder forresten det mest av åpen kildekodemiljø, bruker å være særdeles tydelige når sårbarheter finnes. Pga. at jeg har noen systener som rusler med *nix og annet, så abonnerer jeg på sikkerhetsbulletiner. Relativt klar tale når noe blir funnet.

 

Så vidt jeg vet er vel hullet ikke utnyttet i andre sammenhenger enn å teste det, noe f.eks jeg selv har gjort. Jeg har ikke lest om andre utnyttelser.

[LordErr]

Spør du meg så synes jeg det er supert at feilen ble fikset såpass fort.

 

For å bidra litt til diskusjonen, så synes jeg at mye av open source miljøet har en del raskere patche frekvens enn microsoft. Arkitektur messig så er det i min mening også mer sikkert pr desgin. Microsoft kommer hengende etter, men det er fortsatt noen gamle design avgjørelser som de ikke klarer å komme rundt. Vi får håpe at dette blir bedre med Windows 7 og at det fortsetter å bli bedre. Det er en årsak til at en _aldri_ setter en windows box rett på nett uten en reverse proxy i front, plus, plus. Windows er derimot genialt pga enkel administrasjon og kjempe bra for interne systemer. Alle OS har sine fordeler og bakdeler.

 

Det største problemet blir nok slappe admins som er late med oppdateringer. Etter å ha vært i bransjen en stund vil jeg nok si at dette er et like stort eller større problem enn sikkerhets hullene i seg selv.

 

 

edit: trykkleif

Endret 1. september 2009 av Lord Error