Abo
  • Services:

Linux und BSD: Sicherheitslücke in X.org ermöglicht Root-Rechte

Eine Sicherheitslücke im Displayserver X.org erlaubt unter bestimmten Umständen das Überschreiben von Dateien und das Ausweiten der Benutzerrechte. Der passende Exploit passt in einen Tweet.

Artikel veröffentlicht am ,
Linux und BSD bekommen ihre grafische Darstellung häufig durch X.org.
Linux und BSD bekommen ihre grafische Darstellung häufig durch X.org. (Bild: LLUIS GENE/AFP/Getty Images)

Um grafische Inhalte darzustellen, wird in vielen BSD- und Linux-Distributionen X.org als Displayserver eingesetzt. Der Sicherheitsforscher Narendra Shinde hat eine Sicherheitslücke in der -log-Option des X-Servers gefunden, die jedem Nutzer das Erstellen und Überschreiben von Dateien auf dem kompletten System ermöglicht. Hierdurch kann beispielsweise die Passwortdatei /etc/shadow überschrieben werden, wodurch ein passwortloser Root-Login möglich wird.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Voraussetzung für den Angriff ist ein X.org-Server, der mit setuid Root läuft. Ist dies für den X-Server gesetzt, kann dieser als normaler Benutzer gestartet werden, läuft aber mit Root-Rechten. Ein Angreifer braucht zudem einen Konsolenzugang auf dem betroffenen Rechner. Er muss also Entweder mit einem Dienst wie SSH oder lokal auf dem Rechner eingeloggt sein. Red Hat verbietet allerdings das Ausführen des X-Servers über eine SSH-Konsole. Hier konnte der Angriff also nur lokal erfolgen. Sind die Voraussetzungen gegeben, kann ein Angreifer mit einer Zeile Code, die in einen Tweet passt, Root-Rechte erlangen.

Shinde hat das Problem am 10. Oktober an Red Hat und am 12. Oktober an das X.org-Team gemeldet. Am 25. Oktober wurde die Sicherheitslücke (CVE-2018-14665) koordiniert veröffentlicht. Mit der X.org-Version 1.20.3 wurden die Probleme behoben. Updates stehen bereit. Betroffen waren unter anderem Red Hat Enterprise Linux ab Version 7.4 sowie CentOS, Gentoo und OpenBSD. Updates sollten zügig eingespielt werden.

Der X-Server ist problematisch

Die in die Jahre gekommene Software ist immer wieder von Sicherheitslücken betroffen. Die Gründerin des auf Sicherheit fokussierten Betriebssystems Qubes OS, Joanna Rutkowska, kritisierte bereits 2011 die Architektur des X-Servers. Grafische Anwendungen werden nicht voneinander isoliert, selbst wenn sie unter unterschiedlichen Benutzern laufen. Jedes Programm, das die grafische Oberfläche nutzt, kann Eingaben an andere Programme senden oder Benutzereingaben von anderen grafischen Programmen mitlesen. Das geht so weit, dass auch Eingaben von anderen Benutzern mitgelesen werden können, beispielsweise des Administrators, der unter Linux Root genannt wird.

Der Nachfolger Wayland soll mit diesen Architekturproblemen aufräumen und den Linux-Desktop deutlich sicherer machen. Bisher wird er nur in wenigen Distributionen standardmäßig eingesetzt. Er soll aber in den nächsten Jahren den X-Server beerben.



Anzeige
Hardware-Angebote
  1. 119,90€

nille02 29. Okt 2018

Welcher andere Hersteller bekommt Wayland mit geschlossenen Treibern hin? Und das OOTB...

Truster 29. Okt 2018

Fedora setzt auch standardmäßig bereits auf Wayland. Ich habe bis Dato noch kein Problem...

wo.ist.der... 29. Okt 2018

Mache ich mit Arch und i3wm so.

PineapplePizza 28. Okt 2018

würde es da nicht sinn machen, das immutable-bit zu setzen? die tools die diese datei...

eeg 27. Okt 2018

Ah okay. Danke für die Klarstellung @RipClaw @RicoBrassers


Folgen Sie uns
       


Amazons Echo Sub im Test

Mit dem Echo Sub lassen sich Echo-Lautsprecher mit Tiefbass nachrüsten. Die Echo-Lautsprecher sind allerdings im Mittenbereich vergleichsweise schwach, so dass das Klangbild entsprechend leidet. Sobald zwei Echo-Lautsprecher miteinander verbunden sind, gibt es enorm viele Probleme: Die Echo-Geräte reagieren langsamer, es gibt Zeitverzögerungen der einzelnen Lautsprecher und das Spulen in Musik ist nicht mehr möglich. Wie dokumentieren die Probleme im Video.

Amazons Echo Sub im Test Video aufrufen
Alternative Antriebe: Saubere Schiffe am Horizont
Alternative Antriebe
Saubere Schiffe am Horizont

Wie viel Dreck Schiffe in die Luft blasen, bleibt den meisten Menschen verborgen, denn sie tun es auf hoher See. Fast 100 Jahre wurde deshalb nichts dagegen unternommen - doch die Zeiten ändern sich endlich.
Ein Bericht von Werner Pluta

  1. Autonome Schiffe Und abends geht der Kapitän nach Hause
  2. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  3. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem

Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
Vivy & Co.
Gesundheitsapps kranken an der Sicherheit

35C3 Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
Von Moritz Tremmel

  1. Krankenkassen Vivy-App gibt Daten preis
  2. Krankenversicherung Der Papierkrieg geht weiter
  3. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche

Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch
  3. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit

    •  /