• IT-Karriere:
  • Services:

Linux-Sicherheit: Ubuntu-Bug ermöglicht das Ausführen von Schadcode

Ein gefährlicher Fehler in Ubuntus Crash-Handler Apport ermöglicht es Angreifern, auf einem Zielrechner beliebigen Code aus der Ferne auszuführen. Eine Firma hat dem Entdecker der Lücke über 10.000 Dollar für den Exploit angeboten, dieser zog es jedoch vor, den Fehler an Ubuntu zu melden.

Artikel veröffentlicht am ,
Exploit für Ubuntus Crash-Handler Apport gefunden.
Exploit für Ubuntus Crash-Handler Apport gefunden. (Bild: Donncha O'Cearbhaill)

Apport sah für den irischen Programmierer Donncha O'Cearbhaill nach einem tollen Kandidaten für seine Forschung aus. "Es ist standardmäßig installiert und als ein Default File Handler registriert", schreibt er in seinem Blog. Und anders als große Programme wie Firefox, Libreoffice oder Bildbetrachter werde dem Crash-Handler verhältnismäßig wenig Beachtung geschenkt.

Stellenmarkt
  1. neam IT-Services GmbH, Paderborn
  2. WAREMA Renkhoff SE, Marktheidenfeld (Großraum Würzburg)

O'Cearbhaill beschreibt einen Angriff durch einen Code-Injection-Fehler in CrashDB, bei dem ein Angreifer sein Opfer lediglich dazu bringen muss, eine präparierte Crash-Datei lokal zu öffnen. Weil Ubuntu Dateitypen nicht nur an ihrer Endung erkennen kann, sondern auch an einem Mimetype-Pattern im <magic>-Tag, lässt sich der eigentliche Dateityp leicht verschleiern. O'Cearbhaill machte sich zunutze, dass Ubuntu jedweden unbekannten Dateityp mit dem Crash-Handler Apport öffnet, solange der <magic>-Tag den Wert "ProblemType:" enthält.

Alle Ubuntu-Versionen seit 12.10 betroffen

Der Code-Injection-Fehler wurde laut seinem Entdecker bereits am 22. August 2012 in Apports Revision 2464 eingeführt. Diese Version ist in allen Ubuntu-Versionen seit 12.10 (Quantal Quetzal) enthalten, einschließlich dem aktuellen Ubuntu 16.10 (Yakkety Yak).

Weil Crash-Dateien für System-Crashes von Apport mit Root-Rechten geöffnet werden, sei es zudem möglich, den Exploit mit einer Rechte-Eskalation zu verbinden. Dazu müsse die präparierte Crash-Datei in /var/crash abgelegt werden und der Nutzer beim Ausführen das Root-Passwort eingeben. Dies dürfte so mancher Ubuntu-Nutzer, der Systemcrashs bereits aus der Vergangenheit kennt, ohne weitere Prüfung tun.

Exploits zu verkaufen, wird immer lukrativer

Mit dem Verkauf dieser Lücke hätte O'Cearbhaill offenbar gut Geld verdienen können. Eine Firma habe ihm mehr als 10.000 US-Dollar für den Exploit angeboten, schreibt er. Als verantwortungsvoller Hacker zog der es jedoch vor, den Fehler an Ubuntu zu melden, damit er behoben werden kann. Auch deswegen verbindet O'Cearbhaill seine Veröffentlichung mit einem dringenden Appell: "Die IT-Industrie hat einen ernsthaften Interessenkonflikt. Es gibt einen riesigen finanziellen Anreiz für Sicherheitsforscher, gefundene Schwachstellen an Exploit-Händler zu verkaufen."

Diese Situation werde auch nicht besser, sondern schlimmer, denn "die finanziellen Anreize werden desto stärker, je sicherer Software wird und je schwieriger es wird, Fehler zu finden." Aus diesem Grund müsse die Industrie Gegenanreize für Forscher schaffen. "Wir können und sollten und nicht darauf verlassen, dass Forscher ihre Arbeit kostenlos für die Softwareindustrie verrichten. So bekommen wir keine Sicherheit." Google und Microsoft gingen hier mit ihren Bug-Bounty-Programmen mit gutem Beispiel voran.

Ubuntu-Team vorbildlich

Das Sicherheitsteam der Linux-Distribution hat O'Cearbhaill zufolge hervorragend reagiert und den Fehler schnell behoben. Bereits am 14. Dezember, nur fünf Tage nach der ersten Kontaktaufnahme, standen korrigierte Versionen von Apport in Ubuntus offiziellen Repositories zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

der_wahre_hannes 19. Dez 2016

Ermöglicht es immer noch, wenn der Bugfix noch nicht eingespielt wurde.

Schnarchnase 19. Dez 2016

Es ist auf jeden Fall anständig wie der Hacker reagiert hat. Die Firma die das Geld...

HorkheimerAnders 18. Dez 2016

Linux ist kein Gefrickel, aber wissen was dein Linux nu ausmacht bzw. die Distri...

Anonymer Nutzer 17. Dez 2016

ich meine damit, dass gut sein alleine nicht mehr reicht. man muss sich auch pausenlos...

lear 17. Dez 2016

Es geht hier um Apport und nicht DrKonqi. Letzterer wird auch nur von KDE Anwendungen...


Folgen Sie uns
       


Hallo Magenta und Alexa auf dem Smart Speaker der Telekom

Wetter, Allgemeinwissen, sächsische Aussprache - wir haben den Magenta-Assistenten gegen Alexa antreten lassen.

Hallo Magenta und Alexa auf dem Smart Speaker der Telekom Video aufrufen
Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  2. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte
  3. Firmentochter gegründet VW will in fünf Jahren autonom fahren

Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Elektroschrott: Kauft keine kleinen Konsolen!
Elektroschrott
Kauft keine kleinen Konsolen!

Ich bin ein Fan von Retro. Und ein Fan von Games. Und ich habe den kleinen Plastikschachteln mit ihrer schlechten Umweltbilanz wirklich eine Chance gegeben. Aber es hilft alles nichts.
Ein IMHO von Martin Wolf

  1. IMHO Porsche prescht beim Preis übers Ziel hinaus
  2. Gaming Konsolenkrieg statt Spielestreaming

    •  /