Aufregung über angebliche Sicherheitslücke in systemd

(Bild: Shmuel Csaba Otto Traian, CC BY-SA 3.0 )

Ein vergleichsweise harmloses Sicherheitsproblem eskaliert: Die Verwendung von Benutzernamen mit führenden Ziffern könnte zu einer unerwünschten Rechte-Ausweitung führen – und die Entwickler werden das nicht ändern.

Der Dienste-Manager systemd erlaubt es, Services statt mit Root-Rechten mit den reduzierten Rechten eines Anwenders zu starten. Kommt dabei jedoch ein Benutzername wie ‘0day’ zum Einsatz, der mit einer Ziffer anfängt, wird der fragliche Dienst statt mit eingeschränkten Rechten mit denen des Systemverwalters gestartet. Für diesen Sachverhalt eröffnete letzte Woche ein User mit dem Handle mapleray einen Bug-Report, der jetzt heftig diskutiert wird.

Die systemd-Entwickler ziehen sich auf den Standpunkt zurück, dass sich ihr Meta-Dienst korrekt verhält und es somit auch keinen Fix geben wird ? den Bug-Report bei systemd haben sie mit “not-a-bug” geschlossen. Demnach müssen Linux-Benutzernamen mit einem Buchstaben beginnen. Findet systemd einen User-Eintrag vor, der wie ‘0day’ mit einer Ziffer beginnt, wird dieser ignoriert und der Dienst mit den standardmäßig vorgesehenen Root-Rechten gestartet. Daraus entspann sich eine hitzige Diskussion, ob diese Benutzernamen tatsächlich verboten sind und ob es nicht andere, sinnvollere Möglichkeiten gäbe, mit ihnen umzugehen. Offenbar wurde diese Diskussion von dem immer noch vorhandene Unmut befeuert über die Einführung von systemd bei allen großen Linux-Distributionen einschließlich Debian.

Risikoanalyse

Die Entscheidung, diesen Sachverhalt nicht zu ändern, erscheint auf den ersten Blick gefährlich. Bei genauerer Betrachtung relativiert sich die Gefahreneinstufung jedoch. Denn ein eingeschränkter Nutzer kann weder einen passenden Nutzer-Account einrichten, noch eine systemd-Service-Datei mit dessen Namen anlegen. Beides erfordert bereits Admin-Rechte. Es ist somit auf herkömmlichen Linux-Systemen sehr unwahrscheinlich, dass ein Angreifer diesen Sachverhalt gezielt ausnutzen kann, um seine Rechte zu erhöhen.

Das einzige Szenario, in dem das überhaupt zu Problemen führt, ist jenes, dass ein Admin selbst einen solchen Nutzer angelegt hat, um einen Dienst mit eingeschränkten Rechten zu starten. Der läuft dann nämlich mit Root-Rechten. Gelingt es einem Angreifer, diesen Dienst zu kompromittieren, hat er diese Rechte ebenfalls. Admins sollten also vorsichtshalber einen Blick auf ihre Benutzerdatenbank werfen und nach Namen suchen, die mit Ziffern beginnen.

Gut getrollt

By the way: Ein offenbar zum Scherzen aufgelegter OpenBSD-Fan hat einen Patch vorgeschlagen, der das umstrittene systemd-Verhalten für das OpenBSD-Tool doas einführt. doas ist sozusagen eine OpnBSD-Version des Linux-Tools sudo, mit dem man Programme unter einer anderen User-ID starten kann. (ju)

Ein ganz toller Text =>KLICK<=

  • Tracking: Forscher finden Ultraschall-Spyware in 243 Android-Apps

    (Bild: pixabay.com) Sicherheitsexperten der TU Braunschweig haben in über 200 Apps für Android Lauschsoftware von Silverpush entdeckt, mit der sich Nutzer über verschiedene Geräte hinweg verfolgen und recht einfach deanonymisieren lassen. Immer mehr Mobiltelefonierer haben unwissentlich Ultraschall-Beacons auf ihren Smartphones. Allein die für die Werbeindustrie entwickelte einschlägige Lauschtechnik des Anbieters Silverpush ist mittlerweile in mindestens 243 […]

  • Faustball: Vorfreude auf 1. Liga steigt beim TV Waldrennach

    Der Kader besteht aus dem Schlagmänner-Trio Markus Kraut, Jeremy Wuhrer und Simon Keck. In der Abwehr werden Martin Neuweiler, Kai Erhardt und die zwei Nationalspieler Carsten Scheerer und Oliver Kraut auflaufen. Zusätzlich darf man sich im Waldrennacher Lager auf Rückkehrer Niklas Ehrhardt freuen, der vom TV Stammheim zurückkehrt und die TVW-Defensive verstärken wird. Link hier […]

  • USA: Whistleblowerin Winner gesteht Weitergabe von Informationen

    Während einer ersten Anhörung gestand Reality Leigh Winner die Weitergabe von als geheim eingestuften Informationen an die Presse. Nichtsdestoweniger plädierte sie vor dem US-Bezirksgericht auf “nicht schuldig”. Im Falle einer Verurteilung drohen der 25-Jährigen bis zu zehn Jahre Haft und eine Geldstrafe in Höhe von bis zu 250.000 US-Dollar. Seit die Whistleblowerin Reality Leigh Winner […]

  • Ransomware: Microsoft ist Opfer des eigenen Erfolgs

    Es gibt zwei Arten, die derzeitige Situation nach dem globalen Ransomware-Angriff mit der Malware WannaCry zu beschreiben. Die Kurzform lautet, pardon: Die Kacke ist mächtig am Dampfen. Die etwas längere, diplomatischere Formulierung kommt von Microsoft, sie steht in diesem bemerkenswerten Blogpost: Es sei “schmerzhaft” gewesen, von so vielen betroffenen Unternehmen und Einzelpersonen zu erfahren. Microsoft […]

  • (Kurz notiert) Nach Tragödie: Joss Whedon übernimmt ?Justice League? von Zack Snyder

    Kurz notiert: ?Justice League? soll im November in den Kinos anlaufen. Regisseur Zack Snyder gibt seine Rolle im Filmprojekt ?Justice League? auf, um den Tod seiner Tochter zu verarbeiten. Um den angepeilten Veröffentlichungstermin dennoch einhalten zu können, ist Joss Whedon in die Bresche gesprungen. Aktuell befindet sich der Kinofilm, der Superman, Aquaman, Wonder Woman, Batman, […]