zurück zum Artikel

Der schwerwiegende Bug, mit dem sich die Angreifer Root-Rechte verschafften, nachdem sie über das mitprotokollierte Passwort Zugang zu einzelnen Debian-Server bekamen, ist entdeckt.

Ein zum Zeitpunkt des Eindringens unbekannter Root-Exploit in Kombination mit einem geknackten Account eines Debian-Entwicklers ermöglichte vor einigen Tagen den Einbruch in die Server des Debian-Linuxprojekts [1]. Die Ursache für den lokalen Exploit, mit dem sich die Angreifer Root-Rechte verschafften, nachdem sie über das mitprotokollierte Passwort Zugang zu einzelnen Debian-Server bekamen, ist nun entdeckt: Es handelt sich um einen Bug im Linux-Kernel. Ein Fehler im Systemaufruf do_brk() führt dazu, dass ein Programm Zugriff auf den vollen Adressraum des Kernels erhalten kann. Ein Angreifer kann so natürlich auch Root-Rechte erlangen. Dass dieser Bug mitverantwortlich dafür war, dass der Einbruch in die Debian-Server möglich wurde, entdeckten Sicherheitsanalysen von SuSE und Red Hat, nachdem Robert van der Meulen eine ausführbare Datei entschlüsselt hatte, die auf den kompromittierten Systemen gefunden wurde.

Den Kernel-Bug entdeckte Andrew Morton, Kernel-Hacker und künftig für die Wartung des neuen Linux-Kernels 2.6 [2] zuständig, zwar bereits im September. Allerdings kam dies nicht mehr rechtzeitig für den 22er-Kernel der 2.4-Serie. Im Linux-Kernel 2.4.23, der am Wochenende freigegeben wurde [3], ist der Fehler korrigiert. In der Vorab-Serie des Kernels 2.6 ist er seit der Version test6 behoben. Beim Debian-Projekt wurde der Bug nunmehr für Version 2.4.18-12 der Kernel-Sourcen korrigiert und Version 2.4.18-14 der i386-Kernel-Images. Bei den Kernel-Images für Alpha-Maschinen ist die Version 2.4.18-11 ohne den Fehler.

Zu dem Bug und den notwendigen Updates hat das Debian-Projekt ein Security-Advisory [4] herausgegeben. Auch Red Hat hat bereits in einem Security-Bulletin [5] Hinweise zur Korrektur des Fehlers bei den eigenen Linux-Distributionen veröffentlicht. Ein Advisory [6] von iSEC Security Research bringt zudem technische Details über den Kernel-Bug.

Mit den Informationsdefiziten, die der Debian-Hack aufgezeigt hat, beschäftigt sich auch der aktuelle Kommentar auf heise Security [7] (jk [8])

• Der Debian-Hack und Informationspolitik [9]

URL dieses Artikels:
https://www.heise.de/-89557

Links in diesem Artikel:
[1] https://www.heise.de/news/Details-zum-Einbruch-in-die-Server-des-Debian-Linuxprojekts-89387.html
[2] https://www.heise.de/news/Linux-Kernel-2-6-braucht-noch-eine-Test-Release-89313.html
[3] https://www.heise.de/news/Linux-Kernel-2-4-23-freigegeben-89455.html
[4] http://lists.debian.org/debian-security-announce/debian-security-announce-2003/msg00212.html
[5] https://rhn.redhat.com/errata/RHSA-2003-392.html
[6] http://isec.pl/vulnerabilities/isec-0012-do_brk.txt
[7] http://www.heisec.de
[8] mailto:jk@heise.de
[9] https://www.heise.de/meinung/Der-Debian-Hack-und-Informationspolitik-270366.html

Copyright © 2003 Heise Medien