Abo
  • Services:

Linux und BSD: Sicherheitslücke in X.org ermöglicht Root-Rechte

Eine Sicherheitslücke im Displayserver X.org erlaubt unter bestimmten Umständen das Überschreiben von Dateien und das Ausweiten der Benutzerrechte. Der passende Exploit passt in einen Tweet.

Artikel veröffentlicht am ,
Linux und BSD bekommen ihre grafische Darstellung häufig durch X.org.
Linux und BSD bekommen ihre grafische Darstellung häufig durch X.org. (Bild: LLUIS GENE/AFP/Getty Images)

Um grafische Inhalte darzustellen, wird in vielen BSD- und Linux-Distributionen X.org als Displayserver eingesetzt. Der Sicherheitsforscher Narendra Shinde hat eine Sicherheitslücke in der -log-Option des X-Servers gefunden, die jedem Nutzer das Erstellen und Überschreiben von Dateien auf dem kompletten System ermöglicht. Hierdurch kann beispielsweise die Passwortdatei /etc/shadow überschrieben werden, wodurch ein passwortloser Root-Login möglich wird.

Stellenmarkt
  1. Bosch Gruppe, Wernau (Neckar)
  2. Ultratronik GmbH, Gilching bei München

Voraussetzung für den Angriff ist ein X.org-Server, der mit setuid Root läuft. Ist dies für den X-Server gesetzt, kann dieser als normaler Benutzer gestartet werden, läuft aber mit Root-Rechten. Ein Angreifer braucht zudem einen Konsolenzugang auf dem betroffenen Rechner. Er muss also Entweder mit einem Dienst wie SSH oder lokal auf dem Rechner eingeloggt sein. Red Hat verbietet allerdings das Ausführen des X-Servers über eine SSH-Konsole. Hier konnte der Angriff also nur lokal erfolgen. Sind die Voraussetzungen gegeben, kann ein Angreifer mit einer Zeile Code, die in einen Tweet passt, Root-Rechte erlangen.

Shinde hat das Problem am 10. Oktober an Red Hat und am 12. Oktober an das X.org-Team gemeldet. Am 25. Oktober wurde die Sicherheitslücke (CVE-2018-14665) koordiniert veröffentlicht. Mit der X.org-Version 1.20.3 wurden die Probleme behoben. Updates stehen bereit. Betroffen waren unter anderem Red Hat Enterprise Linux ab Version 7.4 sowie CentOS, Gentoo und OpenBSD. Updates sollten zügig eingespielt werden.

Der X-Server ist problematisch

Die in die Jahre gekommene Software ist immer wieder von Sicherheitslücken betroffen. Die Gründerin des auf Sicherheit fokussierten Betriebssystems Qubes OS, Joanna Rutkowska, kritisierte bereits 2011 die Architektur des X-Servers. Grafische Anwendungen werden nicht voneinander isoliert, selbst wenn sie unter unterschiedlichen Benutzern laufen. Jedes Programm, das die grafische Oberfläche nutzt, kann Eingaben an andere Programme senden oder Benutzereingaben von anderen grafischen Programmen mitlesen. Das geht so weit, dass auch Eingaben von anderen Benutzern mitgelesen werden können, beispielsweise des Administrators, der unter Linux Root genannt wird.

Der Nachfolger Wayland soll mit diesen Architekturproblemen aufräumen und den Linux-Desktop deutlich sicherer machen. Bisher wird er nur in wenigen Distributionen standardmäßig eingesetzt. Er soll aber in den nächsten Jahren den X-Server beerben.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

nille02 29. Okt 2018 / Themenstart

Welcher andere Hersteller bekommt Wayland mit geschlossenen Treibern hin? Und das OOTB...

Truster 29. Okt 2018 / Themenstart

Fedora setzt auch standardmäßig bereits auf Wayland. Ich habe bis Dato noch kein Problem...

wo.ist.der... 29. Okt 2018 / Themenstart

Mache ich mit Arch und i3wm so.

PineapplePizza 28. Okt 2018 / Themenstart

würde es da nicht sinn machen, das immutable-bit zu setzen? die tools die diese datei...

eeg 27. Okt 2018 / Themenstart

Ah okay. Danke für die Klarstellung @RipClaw @RicoBrassers

Kommentieren


Folgen Sie uns
       


Forza Horizon 4 - Golem.de Live (Teil 1)

Michael zeigt alle Jahreszeiten und Spielmodi in Forza Horizon 4.

Forza Horizon 4 - Golem.de Live (Teil 1) Video aufrufen
Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

Dell Ultrasharp 49 im Test: Pervers und luxuriös
Dell Ultrasharp 49 im Test
Pervers und luxuriös

Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
Ein Test von Michael Wieczorek

  1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
  2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
  3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

Job-Porträt Cyber-Detektiv: Ich musste als Ermittler über 1.000 Onanie-Videos schauen
Job-Porträt Cyber-Detektiv
"Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

    •  /