r   e   k   l   a   m   a
r   e   k   l   a   m   a

Raport o błędach w Ubuntu sam z trywialnym błędem, pozwalającym na zdalny atak

Strona główna AktualnościBEZPIECZEŃSTWO

Wszystkie wersje Ubuntu od czasu wydania 12.10 Quantal Quetzal są podatne na zdalne uruchomienie kodu, przeniesionego w złośliwym pliku. Irlandzki badacz Donncha O'Cearbhaill zainspirował się odkryciem przez Chrisa Evansa luk w Gstreamerze – i odkrył analogiczną lukę w systemowej aplikacji zgłaszania błędów. Ponownie więc okazuje się, że desktopowy Linux i bezpieczeństwo niekoniecznie chodzą ze sobą w parze.

Okazuje się, że Ubuntu tak ma skonfigurowane uchwyty plików, że otworzy każdy nieznany sobie plik za pomocą programu raportowania o błędach Apport, jeśli jego zawartość zaczyna się od ciągu ProblemType: . Apport wydaje się być idealną aplikacją do exploitowania: zainstalowany i domyślnie uruchamiany w systemie, koordynuje pracę kilku innych komponentów, mający za cel przechwytywać raporty o błędach, wyświetlać je użytkownikowi i przesyłać na serwery Canonicala.

Taki plik raportowy, zawierający podstawowe informacje o awarii i stanie systemu, zawiera jak się okazało pewne ciekawe pole. W Ubuntu dodano możliwość zgłaszania raportów na launchpady różnych projektów, w zależności od aplikacji, która uległa awarii. Obsługująca to funkcja w Apporcie z jakiegoś powodu ładuje konfigurację nie z lokalnego pliku, lecz z pola CrashDB w pliku raportowym, a jeśli napotka znak nawiasu klamrowego, otwierającego słownik Pythona, wykorzysta metodę eval() do uruchomienia przekazanego jej wyrażenia pythonowego.

r   e   k   l   a   m   a

Apport normalnie odczytuje pewną część pól w pliku raportu, aby przygotować GUI mające zapytać użytkownika o wysłanie raportu o błędzie. Pole CrashDB jest parsowane dopiero po wyrażeniu zgody. Jednak jeśli w pliku awarii znajdziemy ciąg ProblemType: Bug, to Apport przetworzy pole CrashDB bez dalszej interakcji.

Prosta w swojej naturze luka zadebiutowała w wersji 2464 Apporta, wprowadzonej wraz z wydaniem 12.10, i obecna była do tej pory. Jej wyexploitowanie jest trywialne: wystarczy stworzyć exploitujący plik z rozszerzeniem .crash (obsługiwanym przez Apporta) lub dowolnym niezarejestrowanym, a następnie nakłonić użytkownika do jego kliknięcia.

Jak się uchronić przed atakiem?

Na szczęście łatka eliminująca ten błąd została wydana już 14 grudnia, każdy kto swoje Ubuntu regularnie aktualizuje, powinien więc być bezpieczny. Ile jednak podobnych „michałków” tkwi w opensource’owych desktopach? Odkrywca tej luki przyznaje, że w pewnym momencie otrzymał propozycję odsprzedania swojego odkrycia za ponad 10 tys. dolarów – mimo że przecież nie jest to żaden hardcore’owy atak na pamięć.

Producenci komercyjnego oprogramowania mogą sobie pozwolić na kosztowne programy nagród dla odkrywców luk w ich oprogramowaniu, jednak oprogramowanie opensource’owe do tej pory mogło liczyć tylko na ochotników. Bez pieniędzy jednak za daleko nie zajdziemy, szczególnie teraz, gdy wartość luk 0-day tak wzrosła. Dlatego O'Cearbhaill tak zachwala inicjatywy w rodzaju Internet Bug Bounty, mające na celu opłacenie odkrywców luk w kluczowym dla Internetu oprogramowaniu. Coś podobnego przydałoby się też desktopowemu Linuksowi.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.