Abo
  • IT-Karriere:

Linux und BSD: Sicherheitslücke in X.org ermöglicht Root-Rechte

Eine Sicherheitslücke im Displayserver X.org erlaubt unter bestimmten Umständen das Überschreiben von Dateien und das Ausweiten der Benutzerrechte. Der passende Exploit passt in einen Tweet.

Artikel veröffentlicht am ,
Linux und BSD bekommen ihre grafische Darstellung häufig durch X.org.
Linux und BSD bekommen ihre grafische Darstellung häufig durch X.org. (Bild: LLUIS GENE/AFP/Getty Images)

Um grafische Inhalte darzustellen, wird in vielen BSD- und Linux-Distributionen X.org als Displayserver eingesetzt. Der Sicherheitsforscher Narendra Shinde hat eine Sicherheitslücke in der -log-Option des X-Servers gefunden, die jedem Nutzer das Erstellen und Überschreiben von Dateien auf dem kompletten System ermöglicht. Hierdurch kann beispielsweise die Passwortdatei /etc/shadow überschrieben werden, wodurch ein passwortloser Root-Login möglich wird.

Stellenmarkt
  1. über experteer GmbH, Raum Sindelfingen
  2. mpex GmbH, Berlin

Voraussetzung für den Angriff ist ein X.org-Server, der mit setuid Root läuft. Ist dies für den X-Server gesetzt, kann dieser als normaler Benutzer gestartet werden, läuft aber mit Root-Rechten. Ein Angreifer braucht zudem einen Konsolenzugang auf dem betroffenen Rechner. Er muss also Entweder mit einem Dienst wie SSH oder lokal auf dem Rechner eingeloggt sein. Red Hat verbietet allerdings das Ausführen des X-Servers über eine SSH-Konsole. Hier konnte der Angriff also nur lokal erfolgen. Sind die Voraussetzungen gegeben, kann ein Angreifer mit einer Zeile Code, die in einen Tweet passt, Root-Rechte erlangen.

Shinde hat das Problem am 10. Oktober an Red Hat und am 12. Oktober an das X.org-Team gemeldet. Am 25. Oktober wurde die Sicherheitslücke (CVE-2018-14665) koordiniert veröffentlicht. Mit der X.org-Version 1.20.3 wurden die Probleme behoben. Updates stehen bereit. Betroffen waren unter anderem Red Hat Enterprise Linux ab Version 7.4 sowie CentOS, Gentoo und OpenBSD. Updates sollten zügig eingespielt werden.

Der X-Server ist problematisch

Die in die Jahre gekommene Software ist immer wieder von Sicherheitslücken betroffen. Die Gründerin des auf Sicherheit fokussierten Betriebssystems Qubes OS, Joanna Rutkowska, kritisierte bereits 2011 die Architektur des X-Servers. Grafische Anwendungen werden nicht voneinander isoliert, selbst wenn sie unter unterschiedlichen Benutzern laufen. Jedes Programm, das die grafische Oberfläche nutzt, kann Eingaben an andere Programme senden oder Benutzereingaben von anderen grafischen Programmen mitlesen. Das geht so weit, dass auch Eingaben von anderen Benutzern mitgelesen werden können, beispielsweise des Administrators, der unter Linux Root genannt wird.

Der Nachfolger Wayland soll mit diesen Architekturproblemen aufräumen und den Linux-Desktop deutlich sicherer machen. Bisher wird er nur in wenigen Distributionen standardmäßig eingesetzt. Er soll aber in den nächsten Jahren den X-Server beerben.



Anzeige
Spiele-Angebote
  1. (-12%) 52,99€
  2. 4,19€
  3. 3,99€
  4. 229,00€

nille02 29. Okt 2018

Welcher andere Hersteller bekommt Wayland mit geschlossenen Treibern hin? Und das OOTB...

Truster 29. Okt 2018

Fedora setzt auch standardmäßig bereits auf Wayland. Ich habe bis Dato noch kein Problem...

wo.ist.der... 29. Okt 2018

Mache ich mit Arch und i3wm so.

PineapplePizza 28. Okt 2018

würde es da nicht sinn machen, das immutable-bit zu setzen? die tools die diese datei...

eeg 27. Okt 2018

Ah okay. Danke für die Klarstellung @RipClaw @RicoBrassers


Folgen Sie uns
       


World of Warcraft Classic angespielt

Spielen wie zur Anfangszeit von World of Warcraft: Golem.de ist in WoW Classic durch die Fantasywelt Azeroth gezogen und hat sich mit Kobolden und Bergpumas angelegt.

World of Warcraft Classic angespielt Video aufrufen
Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
Mobile-Games-Auslese
Superheld und Schlapphutträger zu Besuch im Smartphone

Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
Von Rainer Sigl

  1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  2. Dr. Mario World im Test Spielspaß für Privatpatienten
  3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

    •  /