Abo
  • Services:

Security: Sicherheitslücke in Red Star OS entdeckt

In der nordkoreanischen Linux-Distribution Red Star OS 3.0 haben IT-Sicherheitsforscher eine erste Sicherheitslücke entdeckt. Beim Laden eines Treibers können Root-Rechte am System erlangt werden.

Artikel veröffentlicht am ,
Eine fehlerhafte Rechtevergabe in Red Star OS 3.0 kann dazu genutzt werden, Root-Rechte zu erlangen.
Eine fehlerhafte Rechtevergabe in Red Star OS 3.0 kann dazu genutzt werden, Root-Rechte zu erlangen. (Bild: Screenshot: Golem.de)

Ein Fehler in der Rechtevergabe von Udev-Regeln erlaubt es einem nicht privilegierten lokalen Benutzer, administrative Rechte in der nordkoreanischen Linux-Distribution Red Star OS 3.0 zu erlangen. Die Sicherheitslücke kann ausgenutzt werden, wenn Laser-Jet-Drucker der 1000er Serie von Hewlett Packard eingeschlossen werden.

Stellenmarkt
  1. Vector Informatik GmbH, Regensburg
  2. Württembergische Versicherung AG, Stuttgart

Der IT-Sicherheitsforscher David Jorm hat die Lücke in der Mailingliste oss-security bekanntgegeben. Da die Konfigurationsdatei 85-hplj10xx.rules von allen Benutzern editiert werden darf, kann ihr beispielsweise eine Run-Regel hinzugefügt werden, die beliebige Befehle ausführt. Sie werden von dem Hotplugging-Dämon Udev dann mit Root-Rechten ausgeführt, sobald ein entsprechender Drucker angeschlossen wird. Da die Datei von allen editiert werden kann, könnte sie so manipuliert werden, dass auch andere USB-Geräte die Schwachstelle aktivieren. Der Fehler wurde in Red Star OS 3.0 entdeckt, der nach bisherigen Erkenntnissen aktuellen Version der Linux-Distribution aus Nordkorea.

Version 2.0 hat ebenfalls eine Lücke

Eine noch gravierendere Lücke hat Jorm in der Vorgängerversion Red Star OS 2.0 entdeckt. Dort ist das Startskript /etc/rc.d/rc.sysinit ebenfalls von allen Nutzern editierbar. Dadurch könnten Nutzer ebenfalls beliebige Befehle einfügen, die gleich beim Systemstart ausgeführt werden. Beide Fehler können jedoch nur von lokalen Benutzern ausgenutzt werden.

Red Star OS 3.0 gibt es seit 2013, in die Schlagzeilen geriet es Ende des vergangenen Jahres durch einen Vortrag des Datenexperten Will Scott auf dem Hacker-Congress 31C3. Kurz darauf tauchte ein Installations-Image im Netz auf. Golem.de hat sich die nordkoreanische Linux-Distribution genauer angesehen. Wie verbreitet Red Star OS in Nordkorea tatsächlich ist, lässt sich aktuell nicht feststellen.



Anzeige
Blu-ray-Angebote
  1. (nur für Prime-Mitglieder)

Dwalinn 12. Jan 2015

lol war das ein Scherz? Jedesmal wenn Windows eine Lücke hat schreien doch alle die...

elgooG 12. Jan 2015

Red Star OS wurde für ein paar Cent inoffiziell unterm Ladentisch gekauft und auch sonst...

Sarkastius 11. Jan 2015

Solange bei MS die die Programmierer der Geheimdienste mit in der Entwicklung sitzen...

vali 10. Jan 2015

Das ist Schwachsinn, denn die ganzen Rechner, die mit diesem Betriebssystem laufen, vom...

MarioWario 10. Jan 2015

gute Menschen die einem bei Codefehlern helfen - hoffentlich nehmen die Genossen das dem...


Folgen Sie uns
       


Sonos Beam im Hands on

Beam ist Sonos' erste smarte Soundbar und läuft mit Amazons Alexa. Im Zusammenspiel mit einem Fire-TV-Gerät kann dieses bequem mit Beam mit der Stimme bedient werden. Die Beam-Soundbar von Sonos kostet 450 Euro und soll am 17. Juli 2018 erscheinen.

Sonos Beam im Hands on Video aufrufen
Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

    •  /