Speicherfehler in sudo ermöglicht root Rechte

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Wer es noch nicht gelesen hat:

    Speicherfehler in sudo ermöglicht root Rechte

    https://www.sudo.ws/alerts/unescape_overflow.html

    https://blog.qualys.com/vulnerabilitie…o-baron-samedit

    https://www.golem.de/news/security-…101-153705.html

    Davon dürften ziemlich alle Pis betroffen sein:

    Code
    apt policy sudo
    sudo:
      Installiert:           1.8.27-1+deb10u2
      Installationskandidat: 1.8.27-1+deb10u2
      Versionstabelle:
     *** 1.8.27-1+deb10u2 500
            500 http://raspbian.raspberrypi.org/raspbian buster/main armhf Packages
            100 /var/lib/dpkg/status

    Workaround gibt es keinen, es braucht die Version sudo 1.9.5p2

    Die gibt es hier.

  • Nur kurz überflogen, aber sehe ich es richtig, das ein lokaler Benutzer über diesen Fehler Root Rechte bekommen kann? Ich frage, weil ein lokaler Benutzer das immer kann.

  • Nur kurz überflogen, aber sehe ich es richtig, das ein lokaler Benutzer über diesen Fehler Root Rechte bekommen kann? Ich frage, weil ein lokaler Benutzer das immer kann.

    Ein lokaler Nutzer sollte das nur können, wenn er die Berechtigung dazu hat.

    Er muss also in der sudoers eingetragen sein.

    Darüber lässt sich auch festlegen, welche Befehle ausgeführt werden dürfen.

    Die Standard-Konfiguration von Raspberry Pi OS ist sehr unsicher. Der User pi darf einfach alles.

    So wie ich das verstanden habe, ermöglicht es, dass auch Benutzer, die nicht in der sudoers stehen sich root Rechte einheimsen können.

    Ja, so ist es. Der User muss nicht in der sudoers drin stehen, damit der Hack funktioniert.

    Es ist aber egal, da auf dem Raspberry PI der User pi bereits in der soduers drin steht und kein Passwort benötigt.

    Somit gilt das System als kompromittiert, sobald sich jemand Fremdes mit dem User pi erfolgreich eingeloggt hat.

  • aber `www-data` doch beispielsweise nicht‽

    Wenn du das System vorher "sicher" machst, also NOPASSWD vom user pi entfernst, dann ist es nicht mehr irrelevant.

    Entsprechend müsste dann sudo entweder entfernt oder aktualisiert werden.

    Ich denke nicht, dass die RPI-Nutzer sehr auf Sicherheit bedacht sind.

    D.h. in den meisten Fällen hat man:

    • Standardpasswort
    • aktiviertes SSH
    • NOPASSWD
    • und bei manchen: IPv6 (öffentliche IP ohne NAT)
  • Nur lokale Nutzer können Root-Rechte erlangen. D.h. es muss eine weitere Sicherheitslücke offen sein, damit dann z.B. über www-data Code ausgeführt werden kann. D.h. User die betroffen sind, haben mehr als einen gravierenden Fehler gemacht. Erst dadurch ist dann eine remote execution möglich. Also trifft es letztendlich diejenigen, die schon andere Lücken mit eingebaut haben. Das kann eine unsichere Konfiguration von PHP sein + unsicheres CMS.

    Lass die Kirche im Dorf. Wer sichere Server betreiben will, verwendet auch kein Raspberri PI Os. Es ist schlichtweg nicht für Server ausgelegt.

    Sieht man schon an den tollen Standardeinstellungen.

  • Ist eine sehr pauschale Aussage. Ich kenne einen Haufen sicherer Systeme die *brauchen* ``sudo``, weil aus Sicherheitsgründen gar kein `root`-Benutzerkonto existiert und man per ``sudo`` verschiedenen (System)benutzern nur bestimmte Dinge erlauben kann, statt das die einfach alles können wenn sie Adminrechte für bestimmte Dinge brauchen.

    “Dawn, n.: The time when men of reason go to bed.” — Ambrose Bierce, “The Devil's Dictionary”

  • per ``sudo`` verschiedenen (System)benutzern nur bestimmte Dinge erlauben

    Für diesen Zweck wurde es ja auch geschaffen. Die "Pervertierung" es als kompl. root-Ersatz, sinnigerweise teils mit NOPASSWD, kam erst sehr spät. Dann aber leider nachhaltig :(

    Wenn du nichts zu sagen hast, sag einfach nichts.

  • Es ist schlichtweg nicht für Server ausgelegt.

    Sieht man schon an den tollen Standardeinstellungen.

    Standardeinstellungen retten dich auch auf Debian, Proxmox, Gentoo uvm. nicht, sobald du Ports ins Netz exposed.

    “Don’t comment bad code - rewrite it.”

    Brian Kernighan

  • EDIT: https://www.raspberrypi.org/documentation/…ion/security.md


    Standardeinstellungen retten dich auch auf Debian, Proxmox, Gentoo uvm. nicht, sobald du Ports ins Netz exposed.

    Habe ich nicht behauptet.

    Aber die falschen Einstellungen bei Rasberry PI OS zu korrigieren, ist nochmal zusätzliche Arbeit.

    Debian nutze ich seit Jahren auf Servern seit 2004 und kenne die Distribution besser als Raspberry PI OS, auch wenn diese nur ein Fork ist.

    Ich würde z.B. für Server auf dem Rapberry PI ein Ubuntu ARM Server einrichten, da dort die Pakete etwas aktueller sind.

    Jedenfalls kann man auch erwarten, dass das Paket sudo auch beim Ubuntu Server vorinstalliert ist.

    Es ist auch nicht das erste Mal, dass es mit sudo Probleme gibt.

    Einmal editiert, zuletzt von RestlessMud46765 (28. Januar 2021 um 12:02)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!