Ubuntu: Schwerer Fehler erlaubt Einschmuggeln von Schadcode

19. Dezember 2016, 14:24
30 Postings

Crash-Reporter erwies sich als unbeabsichtigtes Einfallstor – Canonical bereinigt Bug mit Update

Eigentlich ist Apport dazu gedacht, die Softwarequalität unter Ubuntu zu verbessern. Der Crash-Reporter trägt beim Absturz eines Programms allerlei Informationen zusammen, um den Entwicklern beim Aufspüren des eigentlichen Problems zu helfen. Doch genau diese Funktion erweist sich nun als Einfallstor für Schadsoftware.

Crash

Der Sicherheitsforscher Donncha O'Cearbhaill hat eine Sicherheitslücke in Apport gefunden, die dazu genutzt werden kann, Schadcode auf ein System einzuschmuggeln und zur Ausführung zu bringen. Alles was es dazu braucht, ist eine manipulierte .crash-Datei, die im Verzeichnis /var/crash untergebracht wird. Diese wird automatisch von Apport geöffnet, wodurch der Exploit durchgeführt werden kann.

donncha o'cearbhaill
Ein Beispiel für eine diesbezügliche Attacke.

Dabei wäre es auch ein Leichtes Root-Rechte zu erlangen, zeigt sich der Forscher überzeugt. Immerhin könnte im Zuge eines Angriffs auch gleich eine entsprechende Abfrage zur Erteilung von entsprechenden Rechten präsentiert werden, den meisten Nutzern würde dies wohl kaum auffallen.

Update

Die Lücke ist in allen Ubuntu-Versionen seit der Ausgabe 12.10 enthalten. Allerdings gibt es auch eine gute Nachricht: Der Sicherheitsforscher hat das Problem bei Hersteller Canonical gemeldet, und mittlerweile wurde der Fehler auch bereits bereinigt. Insofern ist allen Ubuntu-Usern ein dringendes Update ihrer Systeme empfohlen, um auch gegen diese Lücke geschützt zu sein. (apo, 19.12.2016)

  • Apport erweist sich als Einfallstor.
    grafik: donncha o'cearbhaill

    Apport erweist sich als Einfallstor.

    Share if you care.