Aufregung über angebliche Sicherheitslücke in systemd

(Bild: Shmuel Csaba Otto Traian, CC BY-SA 3.0 )

Ein vergleichsweise harmloses Sicherheitsproblem eskaliert: Die Verwendung von Benutzernamen mit führenden Ziffern könnte zu einer unerwünschten Rechte-Ausweitung führen – und die Entwickler werden das nicht ändern.

Der Dienste-Manager systemd erlaubt es, Services statt mit Root-Rechten mit den reduzierten Rechten eines Anwenders zu starten. Kommt dabei jedoch ein Benutzername wie ‘0day’ zum Einsatz, der mit einer Ziffer anfängt, wird der fragliche Dienst statt mit eingeschränkten Rechten mit denen des Systemverwalters gestartet. Für diesen Sachverhalt eröffnete letzte Woche ein User mit dem Handle mapleray einen Bug-Report, der jetzt heftig diskutiert wird.

Die systemd-Entwickler ziehen sich auf den Standpunkt zurück, dass sich ihr Meta-Dienst korrekt verhält und es somit auch keinen Fix geben wird ? den Bug-Report bei systemd haben sie mit “not-a-bug” geschlossen. Demnach müssen Linux-Benutzernamen mit einem Buchstaben beginnen. Findet systemd einen User-Eintrag vor, der wie ‘0day’ mit einer Ziffer beginnt, wird dieser ignoriert und der Dienst mit den standardmäßig vorgesehenen Root-Rechten gestartet. Daraus entspann sich eine hitzige Diskussion, ob diese Benutzernamen tatsächlich verboten sind und ob es nicht andere, sinnvollere Möglichkeiten gäbe, mit ihnen umzugehen. Offenbar wurde diese Diskussion von dem immer noch vorhandene Unmut befeuert über die Einführung von systemd bei allen großen Linux-Distributionen einschließlich Debian.

Risikoanalyse

Die Entscheidung, diesen Sachverhalt nicht zu ändern, erscheint auf den ersten Blick gefährlich. Bei genauerer Betrachtung relativiert sich die Gefahreneinstufung jedoch. Denn ein eingeschränkter Nutzer kann weder einen passenden Nutzer-Account einrichten, noch eine systemd-Service-Datei mit dessen Namen anlegen. Beides erfordert bereits Admin-Rechte. Es ist somit auf herkömmlichen Linux-Systemen sehr unwahrscheinlich, dass ein Angreifer diesen Sachverhalt gezielt ausnutzen kann, um seine Rechte zu erhöhen.

Das einzige Szenario, in dem das überhaupt zu Problemen führt, ist jenes, dass ein Admin selbst einen solchen Nutzer angelegt hat, um einen Dienst mit eingeschränkten Rechten zu starten. Der läuft dann nämlich mit Root-Rechten. Gelingt es einem Angreifer, diesen Dienst zu kompromittieren, hat er diese Rechte ebenfalls. Admins sollten also vorsichtshalber einen Blick auf ihre Benutzerdatenbank werfen und nach Namen suchen, die mit Ziffern beginnen.

Gut getrollt

By the way: Ein offenbar zum Scherzen aufgelegter OpenBSD-Fan hat einen Patch vorgeschlagen, der das umstrittene systemd-Verhalten für das OpenBSD-Tool doas einführt. doas ist sozusagen eine OpnBSD-Version des Linux-Tools sudo, mit dem man Programme unter einer anderen User-ID starten kann. (ju)

Ein ganz toller Text =>KLICK<=

  • American Football: Pforzheim Wilddogs wollen auch in Freiburg gewinnen

    ?Wir sind aktuell ungeschlagener Tabellenführer, da ist der Ansporn bei den Gegnern natürlich besonders hoch, gegen die Wilddogs zu siegen. Freiburg wird zu Hause alles in die Waagschale werfen?, glaubt Wilddogs-Vorstand Kai Höpfinger. Die Tabellenposition spricht aber für die Wilddogs. Die Sacristans belegen aktuell den vorletzten Tabellenplatz und taten sich bisher in der Liga schwer. […]

  • Bahn beseitigt DNS-Fehler: Paypal wieder über WIFIonICE benutzbar

    (Bild: Deutsche Bahn) Kunden der Deutschen Bahn können im ICE nun auch wieder mit Paypal bezahlen. Die Bahn hat eine DNS-Fehlkonfiguration behoben, die zuvor zu merkwürdigen Fehlermeldungen geführt hatte. Eine fehlerhafte DNS-Konfiguration im kostenlosen ICE-WLAN der Deutschen Bahn hatte dazu geführt, dass gesicherte Verbindungen zu PayPal nicht möglich waren. Auf Nachfrage von heise Security hatte die […]

  • Datenbanken: Erste Beta von PostgreSQL 10 erschienen

    Die kommende Hauptversion bringt einige Funktionen, die für Skalierbarkeit sorgen sollen. So erlaubt die native Partitionierung das Ausgliedern einzelner Bereiche als Datenbankobjekte, und parallele Queries sind unter anderem für Merge Joins möglich. Das Team hinter der Open-Source-Datenbank hat die erste Beta von PostgreSQL 10 freigegeben. Die Neuerungen konzentrieren sich vor allem auf eine bessere Skalierung […]

  • Mac-Version von Handbrake mit Malware verteilt

    Handbrake hatte 2016 nach 13 Jahren seine Betaphase verlassen. Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet. Einer der Mirror-Server der Mac-Version des beliebten Open-Source-Videotools Handbrake hat über mehrere Tage eine mit Malware infizierte Version der App verteilt. Das teilten die Entwickler […]

  • Billard-Landesmeisterschaften mit Pforzheimer Sieger im Karambol-Dreiband

    In der Vorrunde wurde Dimmler Erster seiner Vierergruppe, Max Augenstein landete in seiner Gruppe auf Rang zwei hinter Titelverteidiger Jürgen Adler aus Viernheim. Somit kam es im Halbfinale zum Duell der Pforzheim, das Augenstein für sich entschied. Im Finale ging es für den Pforzheimer erneut gegen Adler. Während Augenstein dabei seinen besten Durchschnitt von 0,89 […]