Linux Neue Root-Lücke in Linux gefunden ("Dirty Frag")

[Mornsgrans]

Eben bei Heise:

„Dirty Frag“: Linux-Lücken verschaffen root-Rechte

Weitere Lücken mit dem Namen „Dirty Frag“ ermöglichen die Rechteausweitung. Betroffen sind wohl alle Distributionen.

www.heise.de

Es betrifft offenbar alle Distributionen und Versionen.

Da diese Lücke zu früh veröffentlicht wurde, gibt es noch keinen Fix, sondern nur einen Workaround, um das Schlimmste zu verhindern:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

 

[Ravensberger]

Am Betriebssystem wird ohnehin mit erhöhten Rechten herumgehebelt, dass einem schwindelig werden kann. Dieses erfolgt auch gerne aus Komfortgründen, weil sonst der Anwender aufschreit. Das automatische Einbinden von USB- Wechseldatenträgern ist derzeit mein Lieblingsthema. Wahnsinn, dieses über Systemdienste passwortlos abzuwickeln, damit der Vorgang genauso unsicher komfortabel wird wie unter Windows.

Der Zugriff auf geschützte Gerätedateien wie zur Bildschirmhelligkeit wird auch geschickt mit einem Dienst ausgehebelt. Dass dieser Dienst brightnessctl von normalen Anwendern gar nicht ausgeführt werden darf, merkt man dann, wenn man seine Systeme so minimal installiert, dass doch glatt irgendwelche Helferlein zur Erlangung erhöhter Rechte nicht mitinstalliert wurden. Brightnessctl gibt dann an, dass es nur von einem Superuser aus bedient werden darf, oder man solle doch einfach den Anwender schreibenden Zugriff auf die Gerätedateien geben.

Uglaublich, welche Blüten das alles treibt, wenn man mal ein wenig stöbert...

 

[Volvo-Berti]

Naja, man möchte doch auch User von Wndows locken. Und die Helligkeit ist ja nun wirklich individuell im Empfinden.

 

[Ambrosius]

Nein. Denn dann ist die Situation schon so schlimm, dass die Malware keine Lücke mehr benötigt, sie hat schon Root Rechte und kann auf dem Rechner tun, was ihr beliebt.

Danke für die Klarstellung.
Die obige Aussage war etwas verwirrend formuliert gewesen, oder vielleicht habe ich das nur zu vernebelt gelesen.

Neulich noch beim Aufsetzen eines Sxstems überlegt ob es wirklich so klug sein kann in der sudoers file den user auch mit dem Eintrag

thinkpaduser      ALL = (ALL:ALL) ALL

hinzuzufügen.

Das wurde als optionaler Schritt bei einem Guide aufgeführt, hab mich aber dagegen entschieden.

 

[zwieblum]

ja ... aber mir wird immer schlecht wenn wider so was "komfortables" aufschlägt. Bei der aktuellen Lücke stößt mir ziemlich sauer auf, dass das automtische Laden von Kernelmodulen von einem beliebigen User getriggert werden kann - das ist so was von einem nogo. Jetzt muss man wieder einen Deepdive nehmen und rauskriegen, wie man den Müll deaktiviert. Bei *BSD gibt's den "§R§"R§" zum Glück nicht.

 

[RomanX]

Bei der aktuellen Lücke stößt mir ziemlich sauer auf, dass das automtische Laden von Kernelmodulen von einem beliebigen User getriggert werden kann

Das könntest du ganz einfach unterbinden:

echo 1 > /proc/sys/kernel/modules_disabled

Dann solltest du allerdings dafür sorgen, das zuvor alle benötigten Kernelmodule geladen sind.

 

[Volvo-Berti]

Ganz ehrlich, das ist mir zu hoch, was ihr hier diskutiert. Ich bin normaler Anwender, kein IT-Fachmann.

 

[zwieblum]

Das könntest du ganz einfach unterbinden:

echo 1 > /proc/sys/kernel/modules_disabled

Dann solltest du allerdings dafür sorgen, das zuvor alle benötigten Kernelmodule geladen sind.

Na ja, ich möchte eigendlich dass kein User Kernelmodule laden lassen kann - aber nicht, dass gar keine Module mehr geladen werden. User in bestimmter Gruppe oder so wäre OK, aber ganz vorbei an allen Berechtigungen wie jetzt? Ist aber ein guter Workaround

 

[Ravensberger]

Ganz ehrlich, das ist mir zu hoch, was ihr hier diskutiert.

Wir haben eben bereits seit Freitag alle einen aktualisierten Kernel und können jetzt entspannt über Hintergründe sprechen. Selbst der Kernel 32 bit Kernel 6.1 war am Freitag schon erneuert, und dieser dürfte nun wirklich nicht auf Prio 1 stehen. Als Anwender würde ich mich wirklich langsam fragen, ob das beachtlich lange nicht gepatchte Mint wirklich das richtige System sein sollte.

 

[linrunner]

Nach dem Patch ist vor dem Patch ... und es zeichnet sich eine weitere Runde ab:

Fosstodon

fosstodon.org

 

[Volvo-Berti]

mal abgesehen von Menschen in einem Forum wie diesem:
welcher der sicher zigtausende User weltweit bekommt überhaupt mit, das es da eine Lücke gibt?

und bei anderen Systemen ist es ja nicht besser, denke ich mal

 

[linrunner]

Es reicht, wenn die User das Erscheinen von Updates mitbekommen und diese auch einspielen.

 

[zwieblum]

Viel zu einfach

 

[elchmartin]

Nach dem Patch ist vor dem Patch ... und es zeichnet sich eine weitere Runde ab:

Hach schön.

 

[Mornsgrans]

Es gibt eine neue Variante:

Microsoft warnt vor einer weiteren Variante der CopyFail-Lücke namens „Fragnesia“ im Linux-Kernel. Sie verschafft root-Rechte.

Quelle: Heise

Der Workaround ist der selbe, wie oben schon erwähnt.
Noch ein Hinweis:

Wer jedoch auf IPsec angewiesen ist, benötigt einen Kernel mit den Patches.

 

[Volvo-Berti]

so, ich habe das von Seite 1 mal eingegeben mit folgendem Ergebnis:

@TPL14:~$  sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
sh: 1: gt: not found
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
sh: 1: /etc/modprobe.d/dirtyfrag.conf: not found
sh: 1: gt: not found
sh: 1: /dev/null: Permission denied
@TPL14:~$ rmmod: ERROR: Module esp4 is not currently loaded
rmmod: ERROR: Module esp6 is not currently loaded
rmmod: ERROR: Module rxrpc is not currently loaded
rmmod: ERROR: Module 2 is not currently loaded

wie darf ich das nun interpretieren?

 

[Schwartz]

Module nicht geladen, also bist du sicher.

 

[Ravensberger]

Moin @Volvo-Berti
hängst Du etwa immer noch auf dem Kernel 6.17.0-23 fest? Kernel 6.17.0-29 ist seit dem 05. Mai für Ubuntu und damit auch Mint erhältlich.
Wenn Du diesen nicht erhalten hast, wiederhole ich mich gerne noch einmal: Prüfe Deine Referenzpakete.

 

[Volvo-Berti]

Module nicht geladen, also bist du sicher.

merci

Moin @Volvo-Berti
hängst Du etwa immer noch auf dem Kernel 6.17.0-23 fest? Kernel 6.17.0-29 ist seit dem 05. Mai für Ubuntu und damit auch Mint erhältlich.
Wenn Du diesen nicht erhalten hast, wiederhole ich mich gerne noch einmal: Prüfe Deine Referenzpakete.

der wird noch bis August unterstützt. Ich vermute, du meinst meine Referenzquellen, oder? habs grad geprüft, der aktuelle Kernel kommt jetzt rein aus der Ami-Quelle. In DE in den Spiegeln ist nix.

Beitrag automatisch zusammengeführt: Freitag um 16:49

hab grad geschaut, die Spiegelserver in DE hatten da nix Neues. Hab nun auf den Ami-Server geschaltet, der neue Kernel ist nun aktiv

 

[Ravensberger]

Das heißt, auf dem amerikanischen Spiegelserver liegt etwas aktuelleres als auf Deinem bislang genutzten Spiegelserver?
Das wäre wirklich ein 'Hammer'. Kannst Du den vielen Mint- Nutzern hier sagen, welchen Spiegel sie meiden sollten, wenn ich Dich richtig verstanden habe?

Referentpakte sind ein Ausdruck von mir, vielleicht heißen sie auch Basispakete oder anders.
Was Unbuntu treibt, weiß ich nicht. Aber auch unter Debian kann es passieren, dass man ein falsches Referenzpaket installiert hat:

~$ apt list linux-image-amd64
linux-image-amd64/stable-security,now 6.12.86-1 amd64  [installiert]
Hinweis: Es gibt 1 zusätzliche Version. Bitte verwenden Sie die Option »-a«, um sie anzuzeigen.
ravensberger@T480:~$ apt list linux-image-amd64 -a
linux-image-amd64/stable-backports 7.0.4-1~bpo13+1 amd64
linux-image-amd64/stable-security,now 6.12.86-1 amd64  [installiert]
linux-image-amd64/stable 6.12.73-1 amd64

Wenn nicht das "linux-image-amd64" aus "stable-security" installiert ist, sondern jenes aus "stable", wird der Kernel nicht erneuert. So etwas darf es auch nicht geben...

 

[KB19]

wie darf ich das nun interpretieren?

Dass der Befehl im ersten Beitrag falsch ist. Die HTML-Entität > gehört dort z.B. nicht hin, das soll ein > sein.

/cc @Mornsgrans