[linux-l] Ubuntu-Sicherheitslücke abdichten

olafBuddenhagen at gmx.net olafBuddenhagen at gmx.net
Mi Mai 2 08:32:00 CEST 2007 

Hallo,

On Tue, May 01, 2007 at 11:59:14PM +0200, Thomas Kaepernick wrote:
> Am Tue, Apr 24, 2007 at 10:12:29PM +0200, schrieb Norm at nSteinbach:

> > sudo ist ohne gesetztes root-passwort mit dem aktuellen
> > haupt-user-passwort zufrieden, und zwar auch einige Minuten nachdem
> > der eigentliche root-befehl inkl. passwort eingegeben wurde noch,

> Ich komme mir vor, wie bei Windows. Der erste Benutzer ist
> Hauptbenutzer mit Administrator-Rechten.

Der Vergleich hinkt, und zwar ziemlich arg. Auch wenn sudo so
eingerichtet ist (die Idee stammt übrigens von Apple, weiß aber nicht ob
die das exakt genauso handhaben), laufen alle normalen Anwendungen --
anders als bei der typischen Windows-Konfiguration -- mit normalen
Nutzerrechten, nicht als root. D.h. wenn eine fiese Seite im
gefährlichen Web über eine Sicherheitslücke in Firefox den Browser unter
seine Kontrolle bringt, hat es zunächst "nur" die Rechte deines normalen
Nutzers, mit entsprechend eingeschränktem Schadpotenzial.

Damit ein Prozess mit root-Rechten laufen kann, muss er explizit mit
sudo behandelt werden. Und das verlangt normaler Weise nach dem
Passwort. Ein halbwegs vorsichtiger Benutzer wird da schon skeptisch
werden, wenn er beim Web-Surfen plötzlich unerwartet nach dem Passwort
gefragt wird...

Um also root-Rechte zu erlangen, muss der Exploit also auf einen
ziemlich naiven Nutzer hoffen; oder darauf, dass zufällig gerade in den
letzten fünf Minuten eine Administrative Tätigkeit vom Nutzer
durchgeführt wurde...

Ich finde das zugegebener Maßen auch bedenklich, insbesondere die Sache
mit dem Timeout. Aber es ist trotzdem nicht zu vergleichen mit der
Situation wenn man alles als root macht...

> Meines Verstehens nach ist sudo ursprünglich dazu gedacht einzelne
> Kommandos, die z.B. root-Rechte bedürfen, normale Benutzer ausführen
> zu lassen, ohne daß sie das root-Passwort wissen müssen.

Richtig. Allerdings ist dieser Anwendungsfall laut scheinbar weit
verbreiteter Meinung eh unpraktikabel -- es findet sich wohl praktisch
immer ein Weg, aus den Begrenzungen auszubrechen, und volle root-Rechte
zu erlangen. Trügerische Sicherheit also. Wenn man das System vor
normalen Nutzern absichern will, sollte man besser ganz die Finger von
sudo lassen.

-Olaf-

Mehr Informationen über die Mailingliste linux-l