Fouten in Linux onder het tapijt geveegd
Gepubliceerd: Maandag 23 augustus 2010
Auteur: Julie Bort
Een kwetsbaarheid in Linux bleek al meer dan zes jaar te bestaan toen hij werd gepatcht. Dit roept vragen op over de manier waarop bugs in Linux openbaar worden gemaakt.
Linus Torvalds heeft vorige week heel stilletjes een beveiligingsprobleem opgelost in Linux. Het ging om een gat waardoor een aanvaller code kon uitvoeren met root-rechten, vanuit een willekeurige applicatie met grafische userinterface. Dat gebeurde twee maanden nadat de kwetsbaarheid was gerapporteerd op 17 juni, en SUSE engineers zeggen zelfs dat ze de bug oorspronkelijk in september 2004 hebben gerapporteerd en gepatcht. De patch heeft het alleen nooit tot de kernel gebracht.
Opnieuw aan het licht
En zo bleef het gat in de kernel open tot Rafal Wojtczuk, een onderzoeker van Invisible Things Lab, het weer tegenkwam toen hij bezig was met het Qubes project, een open source desktop virtialisatie tool. Daar komt nog bovenop dat de fix die Linus Torvalds op 13 augustus de deur uit deed nogal buggy bleek, waardoor er nog meer fixes nodig waren.
En alsof dat nog niet genoeg is, is de deadline voor disclosure steeds opgeschoven. Eigenlijk zou het lek per 1 augustus al openbaar worden gemaakt, ongeveer een maand nadat men de informatie van X.org had gekregen. De kernel groep zegt dat de bug nu is opgelost in versies 2.6.27.52, 2.6.32.19, 2.6.34.4 en 2.6.35.2. En nu is het aan de verschillende distributies om de fix naar de gebruikers door te geven.
Een paar dagen nadat de patches in de nieuwe kernelrelease waren verschenen, konden de onderzoekers van Invisible Things het probleem eindelijk openbaar maken. Joanna Rutkowska schreef vorige week op haar blog: "De aanval laat een gebruikersproces zonder privileges met toegang tot de X server (dus elke GUI applicatie) zonder voorwaarden escaleren tot root (maar nogmaals, het maakt geen gebruik van een bug in de X server!). Met andere woorden: elke GUI applicatie (denk daarbij bijvoorbeeld aan een sandboxed PDF viewer), kan, als die besmet is (bijvoorbeeld met een kwaadaardig PDF document), alle mooie beveiligingsmechanismen van Linux omzeilen, en zichzelf opwaarderen tot root, en zo het hele systeem besmetten. Met de aanval kan zelfs 'sandbox-X' jail van SELinux worden omzeild. En om het nog erger te maken, is de aanval al zeker een aantal jaar mogelijk, waarschijnlijk sinds de introductie van kernel 2.6."
Niet makkelijk te misbruiken
Maar de beveiligingsonderzoekers hebben er natuurlijk baat bij om de bugs die ze vinden wat aan te dikken, dus heb ik een onafhankelijke partij om commentaar gevraagd: kernelexpert Jonathon Corbet. Hij was het met me eens dat een vertraging van twee maanden niet best is, en zes jaar is dat al helmaal niet. Maar in onze mailwisseling relativeerde hij de ernst van het lek.
"Ik geloof dat twee maanden langer is dan we eigenlijk over het fixen van zo'n type kwetsbaarheid moeten doen. Maar ik weet echt niet waarom het zo lang duurde en ik wil niet te veel kritiek hebben op mensen. Ik wil er wel op wijzen dat dit een soort bugs is, waarvoor aanvallers de systemen al zover moeten hebben besmet dat ze lokaal code kunnen uitvoeren; deze kwetsbaarheid zelf kan een aanvaller op afstand geen toegang tot een kwetsbaar systeem geven. Daarom wordt in het artikel ook gesproken over dingen als PDF exploits."
