Abo
  • Services:
Anzeige
Eine fehlerhafte Rechtevergabe in Red Star OS 3.0 kann dazu genutzt werden, Root-Rechte zu erlangen.
Eine fehlerhafte Rechtevergabe in Red Star OS 3.0 kann dazu genutzt werden, Root-Rechte zu erlangen. (Bild: Screenshot: Golem.de)

Security: Sicherheitslücke in Red Star OS entdeckt

In der nordkoreanischen Linux-Distribution Red Star OS 3.0 haben IT-Sicherheitsforscher eine erste Sicherheitslücke entdeckt. Beim Laden eines Treibers können Root-Rechte am System erlangt werden.

Anzeige

Ein Fehler in der Rechtevergabe von Udev-Regeln erlaubt es einem nicht privilegierten lokalen Benutzer, administrative Rechte in der nordkoreanischen Linux-Distribution Red Star OS 3.0 zu erlangen. Die Sicherheitslücke kann ausgenutzt werden, wenn Laser-Jet-Drucker der 1000er Serie von Hewlett Packard eingeschlossen werden.

Der IT-Sicherheitsforscher David Jorm hat die Lücke in der Mailingliste oss-security bekanntgegeben. Da die Konfigurationsdatei 85-hplj10xx.rules von allen Benutzern editiert werden darf, kann ihr beispielsweise eine Run-Regel hinzugefügt werden, die beliebige Befehle ausführt. Sie werden von dem Hotplugging-Dämon Udev dann mit Root-Rechten ausgeführt, sobald ein entsprechender Drucker angeschlossen wird. Da die Datei von allen editiert werden kann, könnte sie so manipuliert werden, dass auch andere USB-Geräte die Schwachstelle aktivieren. Der Fehler wurde in Red Star OS 3.0 entdeckt, der nach bisherigen Erkenntnissen aktuellen Version der Linux-Distribution aus Nordkorea.

Version 2.0 hat ebenfalls eine Lücke

Eine noch gravierendere Lücke hat Jorm in der Vorgängerversion Red Star OS 2.0 entdeckt. Dort ist das Startskript /etc/rc.d/rc.sysinit ebenfalls von allen Nutzern editierbar. Dadurch könnten Nutzer ebenfalls beliebige Befehle einfügen, die gleich beim Systemstart ausgeführt werden. Beide Fehler können jedoch nur von lokalen Benutzern ausgenutzt werden.

Red Star OS 3.0 gibt es seit 2013, in die Schlagzeilen geriet es Ende des vergangenen Jahres durch einen Vortrag des Datenexperten Will Scott auf dem Hacker-Congress 31C3. Kurz darauf tauchte ein Installations-Image im Netz auf. Golem.de hat sich die nordkoreanische Linux-Distribution genauer angesehen. Wie verbreitet Red Star OS in Nordkorea tatsächlich ist, lässt sich aktuell nicht feststellen.


eye home zur Startseite
Dwalinn 12. Jan 2015

lol war das ein Scherz? Jedesmal wenn Windows eine Lücke hat schreien doch alle die...

elgooG 12. Jan 2015

Red Star OS wurde für ein paar Cent inoffiziell unterm Ladentisch gekauft und auch sonst...

Sarkastius 11. Jan 2015

Solange bei MS die die Programmierer der Geheimdienste mit in der Entwicklung sitzen...

vali 10. Jan 2015

Das ist Schwachsinn, denn die ganzen Rechner, die mit diesem Betriebssystem laufen, vom...

MarioWario 10. Jan 2015

gute Menschen die einem bei Codefehlern helfen - hoffentlich nehmen die Genossen das dem...



Anzeige

Stellenmarkt
  1. CONJECT AG, Duisburg
  2. Pearson Deutschland GmbH, Hallbergmoos Raum München
  3. MBtech Group GmbH & Co. KGaA, Sindelfingen, Stuttgart
  4. Landeshauptstadt München, München


Anzeige
Spiele-Angebote
  1. 329,00€
  2. (-31%) 8,99€
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Switch Eltern bekommen totale Kontrolle per App
  2. Nintendo Switch erscheint am 3. März
  3. Nintendo Switch Drei Stunden Mobilnutzung und 32 GByte interner Speicher

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

  1. Re: Veerräter!

    maze_1980 | 22:45

  2. Re: Gaebe es eigentlich ein legales Mittel?

    frostbitten king | 22:44

  3. Re: Bringt mich auf eine Idee

    Prinzeumel | 22:40

  4. Re: "Wir bauen mehr Glasfaser als jeder andere...

    plutoniumsulfat | 22:33

  5. Re: Ein Film im Half-Life Universum?

    Whizzler | 22:33


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel