Willkommen bei WCM
Um alle Funktionen dieser Website nutzen zu können müssen Sie sich Einloggen oder Registrieren. Die Registrierung ist unverbindlich und dauert nur einen Moment.
Software
Veröffentlicht am 21.03.2003 12:04:25
Kompatibler Bug Derzeit sorgt auf den Kernel-Mailling-Listen die Entdeckung eines Bugs in der ptrace-Funktion aller derzeitigen Kernel-Versionen, beginnend mit 2.2.x, für Aufregung. Bei ptrace handelt es sich um einen Systemaufruf, mit dem man andere Prozesse überwachen und dessen Register verändern kann. Was hier für den Laien schon sehr gefährlich klingt, macht ein Programmierer mehrmals täglich: es handelt sich dabei das Debugging von Programmen zur Fehlersuche. Jede Aktion eines so ‚getraceten’ Programmes kann genau mitverfolgt und dokumentiert werden, ohne den Programmablauf selbst zu ändern oder zu stören. Soweit zur Theorie, denn in man-page zu ptrace steht (übersetzt) folgender Hinweis: „Das Tracen verursacht ein paar feine Änderungen in der Semantik des überwachten Prozesses.“ Und genau diese Änderungen haben sich ein paar Hacker aus Polen zunutze gemacht, um einen lauffähigen Exploit zu schreiben, mit dessen Hilfe man ohne Probleme root-Zugriff auf das gesamte System erlangen kann.
Und wie es aussieht, ist die Sache mit einem schnellen Patch vielleicht noch nicht getan, da viele derzeit erhältliche Monitoring-Tools auf die Funktionalität in der Form vertrauen und ebenfalls gepatcht werden müssten, was wiederum dazu führt, das nach einem Update vorläufig nicht alle Programme so funktionieren könnten, wie Sie sollten.
Alan Cox hat nichts desto trotz einen neuen Kernel 2.2.5 herausgegeben, um die akute Gefahr zu dämmen. Für die 2.4er-Versionen liegen derzeit diverse Patches in Form von Sourcen vor, die auf ihre Art versuchen das System wieder sicher zu machen. Leider können diese im Moment nur fähige Programmierer in die betroffenen Kernel einbringen. Alle anderen müssen im Moment auf die Distributoren warten, bis diese ihre Pakete auf einen sicheren Stand gebracht haben. Red Hat lieferte zum Redaktionsschluss bereits Patches für die Versionen 7.1 bis einschließlich 8.0 aus.
Administratoren sollten als Quick-Hack allen Usern die Shell auf Systemen verbieten, welche diese nicht für die Funktion der darauf laufenden Dienste benötigen. Diese wären z.B. NFS-, Web- und Mailserver, aber auch gut gesicherte FTP-Server, welche eine separate & eingeschränkte Shell ohne Startmöglichkeit von Programmen bieten. Am schnellsten ist dies mit „vi /etc/passwd“ und dem dazugehörigen command-Befehl „:2,$s/bash/false“ erledigt, um den ersten Ansturm von Skriptkiddies abzuhalten.
Heimanwender können getrost auf ein Update warten, wenn Sie nicht lebenswichtige Unterlagen auf ihrem System und experimentierfreudige, computerkundige Söhne im Haus haben!
Christian Sudec
« Cisco kauft Linksys · Undichte Linux-Kernel 2.2 - 2.4
· Sun: Großzügig »