Linux Neue Root-Lücke in Linux gefunden ("Dirty Frag")

[Mornsgrans]

Eben bei Heise:

„Dirty Frag“: Linux-Lücken verschaffen root-Rechte

Weitere Lücken mit dem Namen „Dirty Frag“ ermöglichen die Rechteausweitung. Betroffen sind wohl alle Distributionen.

www.heise.de

Es betrifft offenbar alle Distributionen und Versionen.

Da diese Lücke zu früh veröffentlicht wurde, gibt es noch keinen Fix, sondern nur einen Workaround, um das Schlimmste zu verhindern:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

 

[Volvo-Berti]

nee, ich habe da nix grafisch extra getan. Einfach nur die Updates installiert, die angeboten werden. Und 1x wöchentlich noch zusätzlich via Terminal Updates abgefragt.

Welche Paketquellen sind denn bei euch eingestellt?

 

[Ravensberger]

Moin,
meine Zeit bei Mint ist schon eeeetwas her...
Du kannst in der Updateverwaltung die Kernel auswählen, unabhängig von den Paketquellen, die alle das Gleiche beinhalten.
Es muss auf jeden Fall ein ein 'Long Term Kernel' angeboten werden, also 6.12 oder 6.18, ggf. auch noch der gute alte 6.1.

Linux Kernel

Check end-of-life, release policy and support schedule for Linux Kernel.

endoflife.date

 

[Volvo-Berti]

auf dem L14 hab ich da justament das gecheckt, der Kernel 6.17.0-23 (installiert) wird bis August 2026 unterstützt. der 6.8 sogar bis April 2029.

 

[Karma]

Es muss auf jeden Fall ein ein 'Long Term Kernel' angeboten werden, also 6.12 oder 6.18, ggf. auch noch der gute alte 6.1.

Das sind "Debian-Kernel", Mint setzt aber auf Ubuntu auf und da wird der 6.8er tatsächlich noch bis 2029 gepflegt.

 

[Volvo-Berti]

da ich von der Installation weiterer Kernel per Hand, wie sie auf einigen Seiten beschrieben wird, nicht so viel Ahnung habe, muss ich wohl auf die Entwickler vertrauen und warten.

 

[Ravensberger]

Moin,
die LTS würde ich schon als Linux Kernel bezeichnen, nicht als Debian Kernel.
Spannend ist es dennoch, warum Ubuntu auch zwei Tage nach Debian kein Update bereitstellt. Ist das so, und wenn ja, wie kann das sein?!

@Volvo-Berti Frage einmal Dein System, welche Kernel angeboten werden:

apt list linux-image-6.17.*

und

apt list linux-image-6.8.*

Wenn dort Kernel aufgefürht sind, die aktueller sind als Deine, stimmt etwas mit dem Referenzpaket (falls die Bezeichnung so 'sauber' ist) nicht. Unter Debian ist das linux-image-amd64, unter Ubuntu weiß der Ubuntu-Geier...

 

[Karma]

Moin,
die LTS würde ich schon als Linux Kernel bezeichnen, nicht als Debian Kernel.

Ebenfalls Moin, ich denke mal, du weißt schon, wie ich das gemeint hatte.

 

[Volvo-Berti]

@Ravensberger wie geschrieben oben sind die genannten Kernel aktiv auf meinen TP.

 

[elchmartin]

Mal ne Ketzerische frage:
Sind die Lücken für Single-User-Geräte überhaupt interessant?
Wenn ich richtig verstehe, geht es doch um eine Rechteausweitung eines bestehenden (nicht root/sudo) Benutzers?

 

[Karma]

Sind die Lücken für Single-User-Geräte überhaupt interessant?

Soweit ich mit meinem bisschen Halbwissen die Thermatik verstanden habe, muss man sich als Single-User darüber nicht wirklich viele Gedanken machen.

 

[mcb]

Sind die Lücken für Single-User-Geräte überhaupt interessant?

Nein. Außerdem sind die Fixes ja fertig und werden die nächsten Tage verteilt.

 

[Volvo-Berti]

Gut, dass ich nicht alleine bin mit gefährlichem Halbwissen… oder weniger

 

[zwieblum]

Nein. Außerdem sind die Fixes ja fertig und werden die nächsten Tage verteilt.

Aehm ... ich bin mir da nicht so sicher. 's reicht aus, wenn du Code ausführen kannst - und unter "du" fällt auch dein Browser, Libreoffice, Appimages ....

 

[mcb]

und unter "du" fällt auch dein Browser, Libreoffice, Appimages ....

Da sollte man dran arbeiten.
- Browser immer aktuell
- Browser möglichst restriktiv konfigurieren
- nicht alles anklicken

Das sollte für die zwei Tage bis das Kernelupdate eingespielt ist reichen.

PS: Ist ja eh der Gau wenn über die Programme auf den Rechner (home) zugegriffen wird, oder?

 

[linrunner]

Ob der Browser (Sandbox) den zur Ausnutzung der Lücke notwendigen Code samt spezifischen Syscalls überhaupt ausführen kann, ist erstmal unklar.

 

[RomanX]

Sind die Lücken für Single-User-Geräte überhaupt interessant?

Es kommt drauf an, ...

Wenn ich richtig verstehe, geht es doch um eine Rechteausweitung eines bestehenden (nicht root/sudo) Benutzers?

Wenn ein User uneingeschränkte Administrative Rechte auf dem System hat (sudo ohne Passwortabfrage), dann verschlimmern die Sicherheitslücken die Situation nicht.

Ist für sudo eine Passwortabfrage erforderlich, oder hat der User keine administrativen Rechte, dann können diese über die Lücken erlangt werden.
D.H., jeder Prozess, auf einem vulnerablen Systemen, kann sich darüber root Rechte verschaffen. Auch Schadsoftware.

Das ist also auch für private Computer eine reale Bedrohung.

 

[Ambrosius]

Es kommt drauf an, ...

Wenn ein User uneingeschränkte Administrative Rechte auf dem System hat (sudo ohne Passwortabfrage), dann verschlimmern die Sicherheitslücken die Situation nicht.

Ist für sudo eine Passwortabfrage erforderlich, oder hat der User keine administrativen Rechte, dann können diese über die Lücken erlangt werden.
D.H., jeder Prozess, auf einem vulnerablen Systemen, kann sich darüber root Rechte verschaffen. Auch Schadsoftware.

Das ist also auch für private Computer eine reale Bedrohung.

Hab ich das richtig verstanden, dass wenn man sudo ohne PW nutzt "besser" ist als wie wenn man es mit Pw nutzt?

Wie ist es wenn man sich direkt als root user einloggt?

 

[linrunner]

Hab ich das richtig verstanden, dass wenn man sudo ohne PW nutzt "besser" ist als wie wenn man es mit Pw nutzt?

Nein. Denn dann ist die Situation schon so schlimm, dass die Malware keine Lücke mehr benötigt, sie hat schon Root Rechte und kann auf dem Rechner tun, was ihr beliebt.

 

[Karma]

Ist für sudo eine Passwortabfrage erforderlich, oder hat der User keine administrativen Rechte, dann können diese über die Lücken erlangt werden.
D.H., jeder Prozess, auf einem vulnerablen Systemen, kann sich darüber root Rechte verschaffen. Auch Schadsoftware.

Nun ja, diese Schadsoftware musst du dir ja aber auch erst mal irgendwo einfangen - im Normalfall holt man sich ja seine Software aus den Paketquellen der Distris und so man denn sein System ein bisschen pflegt und aktuell hält, dann dürfte man m.E. schon auf der sicheren Seite sein.

Anderseits, ja, es gibt da schon auch diverse Distris, die zwar Sicherheit auf der Fahne stehen haben, wenn man dann aber mal genauer hinschaut, dann stimmt das so auch nicht ganz.

 

[fakiauso]

Hab ich das richtig verstanden, dass wenn man sudo ohne PW nutzt "besser" ist als wie wenn man es mit Pw nutzt?

Ich glaube, das war ein "Scherz". sudo nutzt üblicherweise ja das PW des ersten/einzigen Nutzers, wenn es nicht geändert wird und wenn man Superuser-Rechte ohne Passwortabfrage quasi "für jeden Deppen mit sudo-Rechten" freigibt, dann kann man sich die Frage nach irgendwelchen Sicherheiten gleich sparen. In einem Live-System wäre das ja z.B. so, dass sudo ohne PW läuft.

Unabhängig davon ist das ungewollte Erlangen höherer Rechte immer ein Risiko; bei einem Einzelplatzrechner ist das eben "nur" Schicksal des/der dort arbeitenden User, während bei einem Server halt großes Malheur angesagt ist.

Aber selbst ein Einzelplatz im LAN kann ja als Brücke für weiteren Blödsinn missbraucht werden.

Edit: Für die spezielle Lücke siehe den Hinweis von linrunner...