Security: Authentifizierung in OpenBSD aus der Ferne umgehbar

Das auf Sicherheit fokussierte Betriebssystem OpenBSD hat eine Sicherheitslücke geschlossen, mit der sich die Authentifizierung auch aus der Ferne umgehen lässt. Das betrifft den SMTP-, LDAP- und Radius-Daemon.

Artikel veröffentlicht am ,
Der Kugelfisch ist das Maskottchen von OpenBSD.
Der Kugelfisch ist das Maskottchen von OpenBSD. (Bild: jim, flickr.com/CC-BY-SA 2.0)

Die Entwickler des freien Betriebssystem OpenBSD haben mehrere miteinander in Verbindung stehende Sicherheitslücken geschlossen. Diese sind auf einen Fehler in der von dem System genutzten Standard-C-Bibliothek (Libc) zurückzuführen. Wie Forscher des Sicherheitsunternehmens Qualys herausgefunden haben, lässt sich unter Ausnutzung der Lücke die Nutzer-Authentifizierung bestimmter Systemdienste umgehen, was auch aus der Ferne ausgenutzt werden kann.

Stellenmarkt
  1. Requirements Engineer (m/w/d)
    Zentrum Bayern Familie und Soziales, München
  2. Informatiker*in, Informationstechniker*in, Elektrotechniker*in mit Masterabschluss o. ä. (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen
Detailsuche

Das ist insbesondere deshalb interessant, weil das auf Sicherheit fokussierte Betriebssystem dafür bekannt ist, diese Ausnutzung aus der Ferne eigentlich weitgehend zu verhindern. Die Entwickler-Community von OpenBSD schreibt auf ihrer Webseite, dass dies bisher erst zweimal geschehen sei.

Zum Ausnutzen der kritischeren Sicherheitslücke (CVE-2019-19521) reicht es laut dem Bericht von Qualys aus, als Nutzernamen die Loginoption -schallenge beziehungsweise -schallenge:passwd anzugeben. Damit sei die Authentifizierung automatisch erfolgreich und kann trivial umgangen werden. Möglich ist dies demnach bei dem SMTP-, LDAP- sowie Radius-Daemon von OpenBSD.

Weitere Anwendungen wie etwa das kleine Werkzeug su stürzen beim Versuch ab, die Lücke auszunutzen. Der SSH-Daemon ist darüber hinaus nicht von der Lücke betroffen, lässt sich aber dafür ausnutzen, um das System daraufhin zu überprüfen, ob die Lücke prinzipiell ausnutzbar ist.

Auch lokale Angriffe möglich

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26.-28. Oktober 2021, online
  3. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Eine ähnliche Sicherheitslücke (CVE-2019-19520) betrifft die Bildschirmsperre Xlock, mit der sich lokale Angreifer weitere Rechte verschaffen können. Diese können dann verwendet werden, um unter Ausnutzung einer weiteren Lücke (CVE-2019-19522) die erst vor kurzem in OpenBSD eingeführte Authentifizierung per Yubikey zu verwenden, um sich Root-Rechte zu verschaffen. Darüber hinaus können lokale Angreifer über eine weitere Sicherheitslücke (CVE-2019-19519) in der Anwendungen su ihre Rechte auf die Loginklassen des Root-Nutzers erweitern.

Das Team von Qualys dankt den OpenBSD-Entwicklern für ihre schnelle Reaktion auf die Meldung der Sicherheitslücken. Die Updates dafür waren demnach bereits nach 40 Stunden verfügbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


roklein 05. Dez 2019

In der Standardinstallation sind OpenSMTPD, ldapd und radiusd nicht für bsdauth...

mxcd 05. Dez 2019

Das ist ja wirklich unschön. Gut, dass es so schnell gepatcht wurde.

sg (Golem.de) 05. Dez 2019

Das sollte natürlich Radius heißen. Danke für den Hinweis.



Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  2. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /