Abo
  • Services:

Linux-Sicherheit: Ubuntu-Bug ermöglicht das Ausführen von Schadcode

Ein gefährlicher Fehler in Ubuntus Crash-Handler Apport ermöglicht es Angreifern, auf einem Zielrechner beliebigen Code aus der Ferne auszuführen. Eine Firma hat dem Entdecker der Lücke über 10.000 Dollar für den Exploit angeboten, dieser zog es jedoch vor, den Fehler an Ubuntu zu melden.

Artikel veröffentlicht am ,
Exploit für Ubuntus Crash-Handler Apport gefunden.
Exploit für Ubuntus Crash-Handler Apport gefunden. (Bild: Donncha O'Cearbhaill)

Apport sah für den irischen Programmierer Donncha O'Cearbhaill nach einem tollen Kandidaten für seine Forschung aus. "Es ist standardmäßig installiert und als ein Default File Handler registriert", schreibt er in seinem Blog. Und anders als große Programme wie Firefox, Libreoffice oder Bildbetrachter werde dem Crash-Handler verhältnismäßig wenig Beachtung geschenkt.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

O'Cearbhaill beschreibt einen Angriff durch einen Code-Injection-Fehler in CrashDB, bei dem ein Angreifer sein Opfer lediglich dazu bringen muss, eine präparierte Crash-Datei lokal zu öffnen. Weil Ubuntu Dateitypen nicht nur an ihrer Endung erkennen kann, sondern auch an einem Mimetype-Pattern im <magic>-Tag, lässt sich der eigentliche Dateityp leicht verschleiern. O'Cearbhaill machte sich zunutze, dass Ubuntu jedweden unbekannten Dateityp mit dem Crash-Handler Apport öffnet, solange der <magic>-Tag den Wert "ProblemType:" enthält.

Alle Ubuntu-Versionen seit 12.10 betroffen

Der Code-Injection-Fehler wurde laut seinem Entdecker bereits am 22. August 2012 in Apports Revision 2464 eingeführt. Diese Version ist in allen Ubuntu-Versionen seit 12.10 (Quantal Quetzal) enthalten, einschließlich dem aktuellen Ubuntu 16.10 (Yakkety Yak).

Weil Crash-Dateien für System-Crashes von Apport mit Root-Rechten geöffnet werden, sei es zudem möglich, den Exploit mit einer Rechte-Eskalation zu verbinden. Dazu müsse die präparierte Crash-Datei in /var/crash abgelegt werden und der Nutzer beim Ausführen das Root-Passwort eingeben. Dies dürfte so mancher Ubuntu-Nutzer, der Systemcrashs bereits aus der Vergangenheit kennt, ohne weitere Prüfung tun.

Exploits zu verkaufen, wird immer lukrativer

Mit dem Verkauf dieser Lücke hätte O'Cearbhaill offenbar gut Geld verdienen können. Eine Firma habe ihm mehr als 10.000 US-Dollar für den Exploit angeboten, schreibt er. Als verantwortungsvoller Hacker zog der es jedoch vor, den Fehler an Ubuntu zu melden, damit er behoben werden kann. Auch deswegen verbindet O'Cearbhaill seine Veröffentlichung mit einem dringenden Appell: "Die IT-Industrie hat einen ernsthaften Interessenkonflikt. Es gibt einen riesigen finanziellen Anreiz für Sicherheitsforscher, gefundene Schwachstellen an Exploit-Händler zu verkaufen."

Diese Situation werde auch nicht besser, sondern schlimmer, denn "die finanziellen Anreize werden desto stärker, je sicherer Software wird und je schwieriger es wird, Fehler zu finden." Aus diesem Grund müsse die Industrie Gegenanreize für Forscher schaffen. "Wir können und sollten und nicht darauf verlassen, dass Forscher ihre Arbeit kostenlos für die Softwareindustrie verrichten. So bekommen wir keine Sicherheit." Google und Microsoft gingen hier mit ihren Bug-Bounty-Programmen mit gutem Beispiel voran.

Ubuntu-Team vorbildlich

Das Sicherheitsteam der Linux-Distribution hat O'Cearbhaill zufolge hervorragend reagiert und den Fehler schnell behoben. Bereits am 14. Dezember, nur fünf Tage nach der ersten Kontaktaufnahme, standen korrigierte Versionen von Apport in Ubuntus offiziellen Repositories zum Download bereit.



Anzeige
Hardware-Angebote
  1. 399€ (Vergleichspreis ab 467€)
  2. 149,90€ + Versand (im Preisvergleich ab 184,95€)

der_wahre_hannes 19. Dez 2016

Ermöglicht es immer noch, wenn der Bugfix noch nicht eingespielt wurde.

Schnarchnase 19. Dez 2016

Es ist auf jeden Fall anständig wie der Hacker reagiert hat. Die Firma die das Geld...

HorkheimerAnders 18. Dez 2016

Linux ist kein Gefrickel, aber wissen was dein Linux nu ausmacht bzw. die Distri...

Anonymer Nutzer 17. Dez 2016

ich meine damit, dass gut sein alleine nicht mehr reicht. man muss sich auch pausenlos...

lear 17. Dez 2016

Es geht hier um Apport und nicht DrKonqi. Letzterer wird auch nur von KDE Anwendungen...


Folgen Sie uns
       


Nuraphone Kopfhörer- Test

Der Nuraphone bietet einen automatischen Hörtest, der den Frequenzgang des Kopfhörers je nach Nutzer unterschiedlich einstellt. Die Klangqualität des ungewöhnlichen Kopfhörers hat Golem.de im Test überzeugt.

Nuraphone Kopfhörer- Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

Mars Insight: Nasa hofft auf Langeweile auf dem Mars
Mars Insight
Nasa hofft auf Langeweile auf dem Mars

Bei der Frage, wie es im Inneren des Mars aussieht, kann eine Raumsonde keine spektakuläre Landschaft gebrauchen. Eine möglichst langweilige Sandwüste wäre den beteiligten Wissenschaftlern am liebsten. Der Nasa-Livestream zeigte ab 20 Uhr MEZ, dass die Suche nach der perfekten Langeweile tatsächlich gelang.

  1. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  2. Mars Die Nasa gibt den Rover nicht auf
  3. Raumfahrt Terraforming des Mars ist mit heutiger Technik nicht möglich

    •  /