Jaren oud gat in Linux blootgelegd

Artikelgereedschap

4x Aanbevolen

Gepubliceerd: Woensdag 18 augustus 2010
Auteur: Sander van der Meijs

Een beveiligingsonderzoeker heeft een gat in Linux ontdekt waardoor een aanvaller het systeem kan overnemen. De kwetsbaarheid bestaat waarschijnlijk al jaren.

Onderzoeker Rafal Wojtczuk heeft gisteren een uitgebreide onderzoekspaper gepubliceerd, waarin hij de kwetsbaarheid uit de doeken doet. Het lek zit in de op Linux draaiende gui-onderlaag Xorg Server en stelt een gebruiker in staat beheerrechten te verkrijgen. Dat kan gebeuren via elke applicatie met een grafische interface (gui).

Wojtczuk heeft de kwetsbaarheid een paar maanden geleden gevonden terwijl hij aan de gebruikersinterface werkte van virtualisatie-besturingssysteem Qubes. Dat schrijft de Poolse security-onderzoeker en Qubes-maker Joanna Rutkowska op haar blog. Deze kwetsbaarheid is vooral interessant omdat het strikt gezien geen echte bug betreft.

Al jaren kwetsbaar

Succesvol misbruik dan dit lek geeft rootrechten aan een proces dat weliswaar zelf beperkte rechten heeft, maar ook toegang heeft tot de X server. Dit geldt voor bijvoorbeeld een PDF-leesapplicatie, ook als die beveiligd is door sandboxing, wanneer daar een malafide PDF-document in wordt geladen, schrijft Rutkowska.

Elke besmette gui-applicatie kan dus de mooie beveiligingsmechanismen van Linux omzeilen en rootrechten verkrijgen, concludeert zij. Zelfs de 'sandbox -X' jail van het in Linux ingebouwde beveiligingsmechanisme SELinux wordt voor de gek gehouden. En wat het echt erg maakt: misbruik van dit lek is al jaren mogelijk. Het zit waarschijnlijk al in Linux sinds de introductie van kernelversie 2.6, schat security-expert Rutkowska.

Desktopbeveiliging

Zij stelt dat deze kwetsbaarheid aantoont hoe moeilijk het is om een desktopplatform te beveiligen. Een van de grootste uitdagingen is daarbij om het geheel goed te beveiligen en tegelijkertijd applicaties te laten communiceren met de gui-laag. Met laatstgenoemde is doorgaans een lijvig gui-protocol gemoeid en een erg complexe gui-server. Daarin kunnen gaten of dus kwetsbaarheden (niet-bugs) zitten.

Linux-schepper Linus Torvalds heeft vorige week overigens een update uitgebracht voor de kernel. Die verbetering (formeel geen patch want het gaat niet om een echte bug) is nu ook opgenomen in de stabiele kernels voor het open source-besturingssysteem. Red Hat heeft al voor het lek gewaarschuwd in een advisory.

Bron: Techworld.nl.

Update:

Verbeterd dat SELinux geen variant is van het open source-besturingssysteem is, maar een ingebouwde feature.

Relevante whitepapers

De zes IT-trends anno 2012 Downloaden Wat iedere CIO moet weten om zijn bedrijf op tijd in de juiste richting te begeleiden!
Mobiliteit vraagt om nieuwe security-aanpak Downloaden Mobiele technologie vraagt om een andere aanpak van CIO’s. Lees hier hoe!

Alle whitepapers >>

Categorieën:

Totaal 123 reactiesLaatste reacties

Ander nieuws

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

Maximaliseer het voordeel van SaaS

Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.
Downloaden
Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.