Linux-Sicherheit: Ubuntu-Bug ermöglicht das Ausführen von Schadcode

Ein gefährlicher Fehler in Ubuntus Crash-Handler Apport ermöglicht es Angreifern, auf einem Zielrechner beliebigen Code aus der Ferne auszuführen. Eine Firma hat dem Entdecker der Lücke über 10.000 Dollar für den Exploit angeboten, dieser zog es jedoch vor, den Fehler an Ubuntu zu melden.

Artikel veröffentlicht am ,
Exploit für Ubuntus Crash-Handler Apport gefunden.
Exploit für Ubuntus Crash-Handler Apport gefunden. (Bild: Donncha O'Cearbhaill)

Apport sah für den irischen Programmierer Donncha O'Cearbhaill nach einem tollen Kandidaten für seine Forschung aus. "Es ist standardmäßig installiert und als ein Default File Handler registriert", schreibt er in seinem Blog. Und anders als große Programme wie Firefox, Libreoffice oder Bildbetrachter werde dem Crash-Handler verhältnismäßig wenig Beachtung geschenkt.

Stellenmarkt
  1. CRM IT Product Owner & Project Manager (m/w/d)
    NEMETSCHEK SE, München
  2. SAP Basis Administrator (m/w/d)
    Minebea Intec GmbH, Hamburg, Aachen, Bovenden
Detailsuche

O'Cearbhaill beschreibt einen Angriff durch einen Code-Injection-Fehler in CrashDB, bei dem ein Angreifer sein Opfer lediglich dazu bringen muss, eine präparierte Crash-Datei lokal zu öffnen. Weil Ubuntu Dateitypen nicht nur an ihrer Endung erkennen kann, sondern auch an einem Mimetype-Pattern im <magic>-Tag, lässt sich der eigentliche Dateityp leicht verschleiern. O'Cearbhaill machte sich zunutze, dass Ubuntu jedweden unbekannten Dateityp mit dem Crash-Handler Apport öffnet, solange der <magic>-Tag den Wert "ProblemType:" enthält.

Alle Ubuntu-Versionen seit 12.10 betroffen

Der Code-Injection-Fehler wurde laut seinem Entdecker bereits am 22. August 2012 in Apports Revision 2464 eingeführt. Diese Version ist in allen Ubuntu-Versionen seit 12.10 (Quantal Quetzal) enthalten, einschließlich dem aktuellen Ubuntu 16.10 (Yakkety Yak).

Golem Karrierewelt
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    05.-09.09.2022, virtuell
  2. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    31.08.2022, Virtuell
Weitere IT-Trainings

Weil Crash-Dateien für System-Crashes von Apport mit Root-Rechten geöffnet werden, sei es zudem möglich, den Exploit mit einer Rechte-Eskalation zu verbinden. Dazu müsse die präparierte Crash-Datei in /var/crash abgelegt werden und der Nutzer beim Ausführen das Root-Passwort eingeben. Dies dürfte so mancher Ubuntu-Nutzer, der Systemcrashs bereits aus der Vergangenheit kennt, ohne weitere Prüfung tun.

Exploits zu verkaufen, wird immer lukrativer

Mit dem Verkauf dieser Lücke hätte O'Cearbhaill offenbar gut Geld verdienen können. Eine Firma habe ihm mehr als 10.000 US-Dollar für den Exploit angeboten, schreibt er. Als verantwortungsvoller Hacker zog der es jedoch vor, den Fehler an Ubuntu zu melden, damit er behoben werden kann. Auch deswegen verbindet O'Cearbhaill seine Veröffentlichung mit einem dringenden Appell: "Die IT-Industrie hat einen ernsthaften Interessenkonflikt. Es gibt einen riesigen finanziellen Anreiz für Sicherheitsforscher, gefundene Schwachstellen an Exploit-Händler zu verkaufen."

Diese Situation werde auch nicht besser, sondern schlimmer, denn "die finanziellen Anreize werden desto stärker, je sicherer Software wird und je schwieriger es wird, Fehler zu finden." Aus diesem Grund müsse die Industrie Gegenanreize für Forscher schaffen. "Wir können und sollten und nicht darauf verlassen, dass Forscher ihre Arbeit kostenlos für die Softwareindustrie verrichten. So bekommen wir keine Sicherheit." Google und Microsoft gingen hier mit ihren Bug-Bounty-Programmen mit gutem Beispiel voran.

Ubuntu-Team vorbildlich

Das Sicherheitsteam der Linux-Distribution hat O'Cearbhaill zufolge hervorragend reagiert und den Fehler schnell behoben. Bereits am 14. Dezember, nur fünf Tage nach der ersten Kontaktaufnahme, standen korrigierte Versionen von Apport in Ubuntus offiziellen Repositories zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


der_wahre_hannes 19. Dez 2016

Ermöglicht es immer noch, wenn der Bugfix noch nicht eingespielt wurde.

Schnarchnase 19. Dez 2016

Es ist auf jeden Fall anständig wie der Hacker reagiert hat. Die Firma die das Geld...

HorkheimerAnders 18. Dez 2016

Linux ist kein Gefrickel, aber wissen was dein Linux nu ausmacht bzw. die Distri...

Anonymer Nutzer 17. Dez 2016

ich meine damit, dass gut sein alleine nicht mehr reicht. man muss sich auch pausenlos...



Aktuell auf der Startseite von Golem.de
Führung in der IT
Über das Unentbehrlichsein

Wie ich als Chef zum wandelnden Lexikon wurde und dabei meinen Spaß an der Arbeit verlor - und wie ich versuche, es besser zu machen.
Ein Erfahrungsbericht von @SoFuckingAgile

Führung in der IT: Über das Unentbehrlichsein
Artikel
  1. Financial Modeling World Cup: Excel-E-Sport im Fernsehen
    Financial Modeling World Cup
    Excel-E-Sport im Fernsehen

    Ein TV-Sender in den USA übertrug erstmals die Ausscheidung der Excel-Weltmeisterschaft.

  2. Antimaterie: Antiprotonen in supraflüssigem Helium gefangen
    Antimaterie
    Antiprotonen in supraflüssigem Helium gefangen

    Forscher haben Antiprotonen in supraflüssigem Helium eingefangen und spektroskopisch untersucht. Das ermöglicht neue Untersuchungen an exotischen Atomen.
    Ein Bericht von Dirk Eidemüller

  3. Franziska Giffey: Statt Steuersenkung lieber 9-Euro-Ticket-Nachfolger
    Franziska Giffey
    Statt Steuersenkung lieber 9-Euro-Ticket-Nachfolger

    Berlins Regierende Bürgermeisterin Franziska Giffey (SPD) fordert eine Nachfolge des 9-Euro-Tickets und stellt Steuersenkungen hinten an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Neuer MM-Flyer • MindStar (Gigabyte RTX 3070 Ti 699€, XFX RX 6950 XT 999€) • ebay Re-Store -50% • AVM Fritz-Box günstig wie nie • Hisense TVs günstiger • Top-SSDs 1TB/2TB (PS5) zu Hammerpreisen • MSI-Sale: Gaming-Laptops/PCs bis -30% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /