sudo sicherheitsproblem

oneOeight · 11.04.2005

anscheinend gibt es eine mögliche sicherheitslücke mit sudo.
apple stuft das ganze als nicht problematisch ein, da der admin user natürlich keine unbekannte software laufen lassen sollte, da aber der hauptuser immer admin ist, scheint diese auffassung doch etwas bedenklich...

http://www.securityfocus.com/archive/1/395107/2005-03-31/2005-04-07/0

xlqr · 11.04.2005

oneOeight schrieb:
... scheint diese auffassung doch etwas bedenklich...

zumindest sollte die geschichte zum nachdenken anregen. wer es testen möchte: hier gibts den *trojaner* (der unterste link) zum download. und hier nochmal eine beschreibung mitsamt fixes.

ein fix aus dem text:

redirect sudo logs to /var/log/secure.log (which has the appropriate permissions and is a more appropriate log for authentication components), add the following lines to the /etc/sudoers file, in the "Defaults" section:

Defaults:ALL !syslog
Defaults:ALL logfile=/var/log/secure.log

allerdings scheinen mir wieder zu viele voraussetzungen erforderlich, um das ding richtig gefährlich zu machen ...

andererseits mag es angebracht sein eher unbedarften (nix für ungut) surfern und freewareinstallierern, zu raten, sich einen alltagsuser anzulegen

maceis · 19.04.2005

xlqr schrieb:
...
allerdings scheinen mir wieder zu viele voraussetzungen erforderlich, um das ding richtig gefährlich zu machen ...

Kann ich nicht nachvollziehen; die Voraussetzungen sind in der Grundkonfiguration alle gegeben.

xlqr schrieb:
...
andererseits mag es angebracht sein eher unbedarften (nix für ungut) surfern und freewareinstallierern, zu raten, sich einen alltagsuser anzulegen

Das ist sicher richtig.
Sobald aber der Benutzer sich bereiwillig als "admin"-Mitglied authentifiziert, um eine "nicht vertrauenswürdiges" Programm zu installieren oder auszuführen, ist das für die Katz.
Ab diesem Zeitpunkt hat (neben dem evtl. schädlichen Programm) ggf. auch der im Link beschrieben Trojaner freie Bahn.

Kruemel_ddorf · 19.04.2005

Ich sehe 2 viel problematischere Sachen als die oben beschriebenen.
Erstens ist das Logfile ziemlich egal, der Timeout sollte abgestellt werden per DEFAULT.
Zweitens find ich es schlimm, das Apple mit jedem Update die Änderungen die der User gemacht hat (genau diesen Timeout abschalten) wieder rueckgaengig macht ...

okay mittlerweile hab ich mir ne script geschrieben

gruss
Kruemel

xlqr · 19.04.2005

maceis schrieb:
Kann ich nicht nachvollziehen ...

ich meinte damit, dass du das ding irgendwie auf die platte bringen musst und den user dazu es zu installieren, danach, während das ding läuft, muss der user eine terminaleingabe mit sudo ausführen. keine ahnung wieviele user mit sudo arbeiten - ich glaub aber nicht wirklich viele?

hältst du den exploit für gefährlich?

maceis · 19.04.2005

xlqr schrieb:
ich meinte damit, dass du das ding irgendwie auf die platte bringen musst und den user dazu es zu installieren, danach, während das ding läuft, muss der user eine terminaleingabe mit sudo ausführen. keine ahnung wieviele user mit sudo arbeiten - ich glaub aber nicht wirklich viele?

Es muss nich notwendigerweise "sudo" im Terminal sein; das kann auch ein Apple-Skript oder ein anderes Programm sein, welches nach dem Passwort fragt (Freeware etc.)

...the trojan application must only
wait until the user leverages the sudo utility, either at the command line
or by another application that leverages sudo to elevate it's privileges....

xlqr schrieb:
...
hältst du den exploit für gefährlich?

IMO hängt das primär vom Nutzerverhalten ab. Apple sagt übrigens im Grunde nichts anderes, wobei "vergessen" wird, dass sich nicht unbedingt alle Benutzer bewusst machen, welches Risiko die Eingabe eines Passwortes, z. B bei einer Freeware, beinhaltet. Die Kombination Freeware<->Trojaner ist ja bereits seit der Antike bekannt und beliebt

xlqr · 19.04.2005

maceis schrieb:
Es muss nich notwendigerweise "sudo" im Terminal sein; das kann auch ein Apple-Skript oder ein anderes Programm sein, welches nach dem Passwort fragt (Freeware etc.)

bei meinem test hat die sudo eingabe ein ergebniss hervorgerufen - der test mit dem carbon copy cloner hat nichts bewirkt. kopfkratz

auf das userverhalten hab ich ja hingewiesen

xlqr · 19.04.2005

Kruemel_ddorf schrieb:
Ich sehe 2 viel problematischere Sachen als die oben beschriebenen.
Erstens ist das Logfile ziemlich egal, der Timeout sollte abgestellt werden per DEFAULT.
Zweitens find ich es schlimm, das Apple mit jedem Update die Änderungen die der User gemacht hat (genau diesen Timeout abschalten) wieder rueckgaengig macht ...

okay mittlerweile hab ich mir ne script geschrieben

gruss
Kruemel

hört sich vernünftig an - hast du nicht lust das script mal zu posten?

maceis · 20.04.2005

xlqr schrieb:
bei meinem test hat die sudo eingabe ein ergebniss hervorgerufen - der test mit dem carbon copy cloner hat nichts bewirkt. kopfkratz
...

Was nur darauf hinweist, dasc CCC anschließend ein "sudo -k" absetzt, was den Zeitstempel (die 5 Minuten) für ungültig erklärt oder die Authentifizierung gar nicht mit "sudo" durchführt.
Es gibt keine Garantie, dass jede Freeware etc. das macht.

sudo sicherheitsproblem

oneOeight

unregistriert

xlqr

Aktives Mitglied

maceis

Aktives Mitglied

Kruemel_ddorf

Aktives Mitglied

xlqr

Aktives Mitglied

maceis

Aktives Mitglied

xlqr

Aktives Mitglied

xlqr

Aktives Mitglied

maceis

Aktives Mitglied