Linux und BSD: Sicherheitslücke in X.org ermöglicht Root-Rechte

Eine Sicherheitslücke im Displayserver X.org erlaubt unter bestimmten Umständen das Überschreiben von Dateien und das Ausweiten der Benutzerrechte. Der passende Exploit passt in einen Tweet.

Artikel veröffentlicht am ,
Linux und BSD bekommen ihre grafische Darstellung häufig durch X.org.
Linux und BSD bekommen ihre grafische Darstellung häufig durch X.org. (Bild: LLUIS GENE/AFP/Getty Images)

Um grafische Inhalte darzustellen, wird in vielen BSD- und Linux-Distributionen X.org als Displayserver eingesetzt. Der Sicherheitsforscher Narendra Shinde hat eine Sicherheitslücke in der -log-Option des X-Servers gefunden, die jedem Nutzer das Erstellen und Überschreiben von Dateien auf dem kompletten System ermöglicht. Hierdurch kann beispielsweise die Passwortdatei /etc/shadow überschrieben werden, wodurch ein passwortloser Root-Login möglich wird.

Stellenmarkt
  1. SAP-Produktmanagerin/SAP-Pro- duktmanager (w/m/d)
    Berliner Verkehrsbetriebe (BVG), Berlin
  2. DevOps Engineer Schwerpunkt Microsoft Azure DevOps (m/w/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
Detailsuche

Voraussetzung für den Angriff ist ein X.org-Server, der mit setuid Root läuft. Ist dies für den X-Server gesetzt, kann dieser als normaler Benutzer gestartet werden, läuft aber mit Root-Rechten. Ein Angreifer braucht zudem einen Konsolenzugang auf dem betroffenen Rechner. Er muss also Entweder mit einem Dienst wie SSH oder lokal auf dem Rechner eingeloggt sein. Red Hat verbietet allerdings das Ausführen des X-Servers über eine SSH-Konsole. Hier konnte der Angriff also nur lokal erfolgen. Sind die Voraussetzungen gegeben, kann ein Angreifer mit einer Zeile Code, die in einen Tweet passt, Root-Rechte erlangen.

Shinde hat das Problem am 10. Oktober an Red Hat und am 12. Oktober an das X.org-Team gemeldet. Am 25. Oktober wurde die Sicherheitslücke (CVE-2018-14665) koordiniert veröffentlicht. Mit der X.org-Version 1.20.3 wurden die Probleme behoben. Updates stehen bereit. Betroffen waren unter anderem Red Hat Enterprise Linux ab Version 7.4 sowie CentOS, Gentoo und OpenBSD. Updates sollten zügig eingespielt werden.

Der X-Server ist problematisch

Die in die Jahre gekommene Software ist immer wieder von Sicherheitslücken betroffen. Die Gründerin des auf Sicherheit fokussierten Betriebssystems Qubes OS, Joanna Rutkowska, kritisierte bereits 2011 die Architektur des X-Servers. Grafische Anwendungen werden nicht voneinander isoliert, selbst wenn sie unter unterschiedlichen Benutzern laufen. Jedes Programm, das die grafische Oberfläche nutzt, kann Eingaben an andere Programme senden oder Benutzereingaben von anderen grafischen Programmen mitlesen. Das geht so weit, dass auch Eingaben von anderen Benutzern mitgelesen werden können, beispielsweise des Administrators, der unter Linux Root genannt wird.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Der Nachfolger Wayland soll mit diesen Architekturproblemen aufräumen und den Linux-Desktop deutlich sicherer machen. Bisher wird er nur in wenigen Distributionen standardmäßig eingesetzt. Er soll aber in den nächsten Jahren den X-Server beerben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Seasonic Syncro Q704 im Test
Die innovative Netzteil-Gehäuse-Einheit

Mit dem Syncro Q704 hat Seasonic ein Gehäuse samt Netzteil entwickelt, das die Verkabelung der Hardware einzigartig clever löst.
Ein Test von Marc Sauter

Seasonic Syncro Q704 im Test: Die innovative Netzteil-Gehäuse-Einheit
Artikel
  1. Werbung: Mozilla testet erneut gesponserte Inhalte in Firefox
    Werbung
    Mozilla testet erneut gesponserte Inhalte in Firefox

    Firefox-Nutzer sehen in der Neue-Tab-Ansicht offenbar gesponserte Inhalte. Ähnliche Pläne dazu verfolgt Mozilla bereits seit Jahren.

  2. Prime Day 2021 bei Amazon - das sind die Highlights
     
    Prime Day 2021 bei Amazon - das sind die Highlights

    Lange haben wir gewartet, jetzt ist es so weit: Der Prime Day 2021 ist gestartet und bietet millionenfache Angebote aus allen Kategorien.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Oliver Zipse: BMW sieht Kohlestrom-E-Auto im Nachteil gegenüber Diesel
    Oliver Zipse
    BMW sieht Kohlestrom-E-Auto im Nachteil gegenüber Diesel

    BMW-Chef Zipse schätzt die Umweltfreundlichkeit des E-Autos nicht unbedingt höher ein als die eines Diesels. Verbrenner wollen BMW und Mercedes verkaufen, solange es Kunden gibt.

nille02 29. Okt 2018

Welcher andere Hersteller bekommt Wayland mit geschlossenen Treibern hin? Und das OOTB...

Truster 29. Okt 2018

Fedora setzt auch standardmäßig bereits auf Wayland. Ich habe bis Dato noch kein Problem...

wo.ist.der... 29. Okt 2018

Mache ich mit Arch und i3wm so.

PineapplePizza 28. Okt 2018

würde es da nicht sinn machen, das immutable-bit zu setzen? die tools die diese datei...

eeg 27. Okt 2018

Ah okay. Danke für die Klarstellung @RipClaw @RicoBrassers


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day jetzt gestartet • Switch Lite 174,99€ • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • Amazon-Geräte (u. a. Fire TV Stick 4K Ultra HD 28,99€) • Bosch Werkzeug • Apple-Produkte (u. a. iPhone 12 128GB 769€) • Fernseher von Samsung, Sony & LG [Werbung]
    •  /