Speicherfehler in sudo ermöglicht root Rechte

  • Wer es noch nicht gelesen hat:

    Speicherfehler in sudo ermöglicht root Rechte

    https://www.sudo.ws/alerts/unescape_overflow.html

    https://blog.qualys.com/vulner…low-in-sudo-baron-samedit

    https://www.golem.de/news/secu…t-rechte-2101-153705.html

    Davon dürften ziemlich alle Pis betroffen sein:

    Code
    apt policy sudo
    sudo:
      Installiert:           1.8.27-1+deb10u2
      Installationskandidat: 1.8.27-1+deb10u2
      Versionstabelle:
     *** 1.8.27-1+deb10u2 500
            500 http://raspbian.raspberrypi.org/raspbian buster/main armhf Packages
            100 /var/lib/dpkg/status

    Workaround gibt es keinen, es braucht die Version sudo 1.9.5p2

    Die gibt es hier.

  • Nur kurz überflogen, aber sehe ich es richtig, das ein lokaler Benutzer über diesen Fehler Root Rechte bekommen kann? Ich frage, weil ein lokaler Benutzer das immer kann.

  • Nur kurz überflogen, aber sehe ich es richtig, das ein lokaler Benutzer über diesen Fehler Root Rechte bekommen kann? Ich frage, weil ein lokaler Benutzer das immer kann.

    Ein lokaler Nutzer sollte das nur können, wenn er die Berechtigung dazu hat.

    Er muss also in der sudoers eingetragen sein.

    Darüber lässt sich auch festlegen, welche Befehle ausgeführt werden dürfen.


    Die Standard-Konfiguration von Raspberry Pi OS ist sehr unsicher. Der User pi darf einfach alles.


    So wie ich das verstanden habe, ermöglicht es, dass auch Benutzer, die nicht in der sudoers stehen sich root Rechte einheimsen können.

    Ja, so ist es. Der User muss nicht in der sudoers drin stehen, damit der Hack funktioniert.

    Es ist aber egal, da auf dem Raspberry PI der User pi bereits in der soduers drin steht und kein Passwort benötigt.

    Somit gilt das System als kompromittiert, sobald sich jemand Fremdes mit dem User pi erfolgreich eingeloggt hat.

  • Ja Danke! Das meinte ich damit. Beim unveränderten Standard Raspberry Pi OS ist der sudo Fehler quasi irrelevant. Auf anderen Systemen ist das i.d.R. anders konfiguriert und eher von Bedeutung.

  • Ist er tatsächlich irrelevant? Okay `pi` darf alles, aber `www-data` doch beispielsweise nicht‽

    “If debugging is the process of removing software bugs, then programming must be the process of putting them in.” — Edsger Dijkstra

  • aber `www-data` doch beispielsweise nicht‽


    Wenn du das System vorher "sicher" machst, also NOPASSWD vom user pi entfernst, dann ist es nicht mehr irrelevant.

    Entsprechend müsste dann sudo entweder entfernt oder aktualisiert werden.


    Ich denke nicht, dass die RPI-Nutzer sehr auf Sicherheit bedacht sind.

    D.h. in den meisten Fällen hat man:

    • Standardpasswort
    • aktiviertes SSH
    • NOPASSWD
    • und bei manchen: IPv6 (öffentliche IP ohne NAT)
  • Das es Nutzer gibt die ihr System total unsicher konfigurieren macht doch Sicherheitslücken nicht irrelevant. Das Argument finde ich genau so unsinnig wie das Datenschutz egal ist weil so viele bei Facebook & Co ihre Daten freiwillig abgeben.

    “If debugging is the process of removing software bugs, then programming must be the process of putting them in.” — Edsger Dijkstra

  • Nur lokale Nutzer können Root-Rechte erlangen. D.h. es muss eine weitere Sicherheitslücke offen sein, damit dann z.B. über www-data Code ausgeführt werden kann. D.h. User die betroffen sind, haben mehr als einen gravierenden Fehler gemacht. Erst dadurch ist dann eine remote execution möglich. Also trifft es letztendlich diejenigen, die schon andere Lücken mit eingebaut haben. Das kann eine unsichere Konfiguration von PHP sein + unsicheres CMS.


    Lass die Kirche im Dorf. Wer sichere Server betreiben will, verwendet auch kein Raspberri PI Os. Es ist schlichtweg nicht für Server ausgelegt.

    Sieht man schon an den tollen Standardeinstellungen.

  • Ist eine sehr pauschale Aussage. Ich kenne einen Haufen sicherer Systeme die *brauchen* ``sudo``, weil aus Sicherheitsgründen gar kein `root`-Benutzerkonto existiert und man per ``sudo`` verschiedenen (System)benutzern nur bestimmte Dinge erlauben kann, statt das die einfach alles können wenn sie Adminrechte für bestimmte Dinge brauchen.

    “If debugging is the process of removing software bugs, then programming must be the process of putting them in.” — Edsger Dijkstra

  • per ``sudo`` verschiedenen (System)benutzern nur bestimmte Dinge erlauben

    Für diesen Zweck wurde es ja auch geschaffen. Die "Pervertierung" es als kompl. root-Ersatz, sinnigerweise teils mit NOPASSWD, kam erst sehr spät. Dann aber leider nachhaltig :(

    Menschen die keine Ironie verstehen finde ich super!

  • Es ist schlichtweg nicht für Server ausgelegt.

    Sieht man schon an den tollen Standardeinstellungen.


    Standardeinstellungen retten dich auch auf Debian, Proxmox, Gentoo uvm. nicht, sobald du Ports ins Netz exposed.

    “Don’t comment bad code - rewrite it.”

  • EDIT: https://www.raspberrypi.org/do…configuration/security.md



    Standardeinstellungen retten dich auch auf Debian, Proxmox, Gentoo uvm. nicht, sobald du Ports ins Netz exposed.

    Habe ich nicht behauptet.


    Aber die falschen Einstellungen bei Rasberry PI OS zu korrigieren, ist nochmal zusätzliche Arbeit.


    Debian nutze ich seit Jahren auf Servern seit 2004 und kenne die Distribution besser als Raspberry PI OS, auch wenn diese nur ein Fork ist.

    Ich würde z.B. für Server auf dem Rapberry PI ein Ubuntu ARM Server einrichten, da dort die Pakete etwas aktueller sind.

    Jedenfalls kann man auch erwarten, dass das Paket sudo auch beim Ubuntu Server vorinstalliert ist.


    Es ist auch nicht das erste Mal, dass es mit sudo Probleme gibt.

    Edited once, last by DeaD_EyE ().

  • [OT]

    Wenn einmal alles wieder zu und ordentlich ist, dann

    es ist zwar das gleiche Loch aber der Zugriff erfolgt aus verschiedenen Dimensionen. Jede "Sparte" hat eigene Pläne von dem was unter der Oberfläche ist. Und der Ablauf beginnt immer mit Aufgraben.

    [/OT]