Systemd niet veilig ?

[Tom]

https://thehackernews.com/2019/01/linux-systemd-exploit.html?fbclid=IwAR1KiWYNSduZ43BJqvBTJijHFi00Ms1CrxKcA88QqicOBksjEGZyvoohto8

[Pjotr]

Een veiligheidsgat zoals er zoveel zijn? Er zal binnenkort heus wel weer een reparatie komen via de bijgewerkte pakketten. 

[Bloom]

Dit vereist lokale toegang tot een computer, en dan is er veel mogelijk. Dat is dus een non-issue.
Wat echt bedreigend is, is wat er via het internet mogelijk is op jouw computer. Als je Linux draait: niets buiten het gespioneer via allerlei internetdiensten. Dan heb je geen nieuws meer he. Een bepaald welbekend stuk gatenkaas uit Redmond heeft het monopolie op wat via het internet allemaal mogelijk is. En als tegenwicht voor alle nieuws over malware- en hacking kwetsbaarheden is er dan ook van tijd tot tijd een groot alarm nodig over een kwetsbaarheid in Linux die alleen te misbruiken is bij lokale toegang (dus als je voor zo'n computer zit).

[Ron]

Volgens mij was dit met een update van vorige week al verholpen.

@Bloom: inderdaad, met toegang tot de hardware kan bijna alles............

[testcees]

Fysieke toegang tot de hardware is niet nodig. Dit “lek” kan ook worden gebruikt door iemand, een gewone medewerker, een klant, een account met een zwak wachtwoord, die kan aanmelden via het netwerk of internet (ssh)

A local attacker, or a remote one

Een veiligheidsgat zoals er zoveel zijn? Er zal binnenkort heus wel weer een reparatie komen via de bijgewerkte pakketten. 

Ja, helaas zijn er ook veel veiligheidsgaten in Linux en uiteraard komen daar regelmatig reparaties (veiligheidsupdates) voor uit.
Het tijdig aanbrengen van deze reparaties kan voor iemand die verantwoordelijk is voor veel systemen en/of apparaten (en meer te doen heeft) wel een hele klus zijn

@Tom bedankt voor het delen van dit nieuwsbericht.

[bwman]

"We developed an exploit for CVE-2018-16865 and CVE-2018-16866 that obtains a local root shell in 10 minutes on i386 and 70 minutes on amd64, on average," the researchers write in an advisory published Wednesday.

ik lees nergens in het artikel op afstand wel lokaal maar ik kan er over lezen .
 CVE-2018-16865  geeft aan niet bestaand als je op jou linkje klikt testcees.
misschien al opgelost?

[Pjotr]

Zo te zien al bijna twee weken geleden opgelost:
https://usn.ubuntu.com/3855-1/

Laat je niet gek maken door dit soort nieuwsberichten.... Vaak is zo'n gat al gerepareerd voordat het nieuwsbericht is gepubliceerd. In dit geval precies één dag na publicatie. 

[testcees]

 CVE-2018-16865  geeft aan niet bestaand als je op jou linkje klikt testcees.

Bedankt voor je opmerking, linkje had ik niet goed gekopieerd en moet zijn: https://cve.circl.lu/cve/CVE-2018-16865

[Ron]

Mijn PC (en de meeste van jullie denk ik ook) is niet via SSH van buitenaf te benaderen.
De risico's voor een thuisgebruiker zijn dan ook minimaal, denk ik.

[partyrabbit]

Ja, helaas zijn er ook veel veiligheidsgaten in Linux en uiteraard komen daar regelmatig reparaties (veiligheidsupdates) voor uit.

Gelukkig wel. En nog een geluk dat linux een stuk minder intensief hoeft te updaten dan windows, en dat ook nog een stuk efficiënter doet.
Dit is nou de tweede serieuze in een half jaar, jaar? Bij windows is dit volgens mij veel vaker aan de orde.

Het tijdig aanbrengen van deze reparaties kan voor iemand die verantwoordelijk is voor veel systemen en/of apparaten (en meer te doen heeft) wel een hele klus zijn

Gelukkig bij linux een stuk minder aan de orde en dus minder werk dan bij windows.

@Tom bedankt voor het delen van dit nieuwsbericht.

Zeker. Altijd interessant zo iets om te leren hoe linux in elkaar steekt.
Daarmee krijg je toch weer de bevestiging dat linux stukken efficiënter werkt waardoor alles veel sneller dicht gepatched is.

Wel jammer dat de hele wereld (media en zo) en nog wat personen op elke kans er altijd met gestrekt been in gaan om te overdreven te benadrukken hoe linux ook net niet perfect is (wat wel?).
Je zou toch verwachten dat internetmedia (en andere minpuntjes-fanatici) over meer vakkennis zou beschikken om te begrijpen dat soms een gat open is gelaten in een tijd dat dat gat nog niet als bedreiging gezien werd en pas nu wel.

Mijn PC (en de meeste van jullie denk ik ook) is niet via SSH van buitenaf te benaderen.
De risico's voor een thuisgebruiker zijn dan ook minimaal, denk ik.

Hahaha. Ja. Mijn computers ook ook niet, en hangen inmiddels achter drie firewalls. Probeer maar eens binnen te komen. 

[Pjotr]

Mijn PC (en de meeste van jullie denk ik ook) is niet via SSH van buitenaf te benaderen.
De risico's voor een thuisgebruiker zijn dan ook minimaal, denk ik.

Enfin, het is al lang gerepareerd (zie mijn vorige bericht), dus we hoeven er gelukkig verder geen woorden meer aan vuil te maken....  Maar inderdaad, dat SSH-gezeur was sowieso vergezocht mierenn**ken. 

[partyrabbit]

Ja mooi hè, hoe linux en zijn communitiy werkt?! Daar kunnen 'anderen' een puntje aan zuigen.
En mooi hoe dit elke keer in dit soort topics weer snel duidelijk wordt en gemaakt kan worden. Goede reclame zo voor linux.

En ik vind het wel interessant, wat voor soort lekken er heel soms toch ontdekt worden (en dan heel snel gedicht), want algemene dreigingen los van os.

[testcees]

Snel? Dat lees ik niet in het artikel. Het lek is vanaf 2013 aanwezig en al in 2017 ontdekt.

CVE-2018-16864 is similar to a Stack Clash vulnerability Qualys researchers discovered in 2017 that can be exploited by malware or low privileged users to escalate their permission to root.
According to the researchers, CVE-2018-16864 existed in systemd's codebase since April 2013

Maar zeker fijn dat het nu (eindelijk) is gerepareerd zodat de onderzoekers hun bevindingen openbaar kunnen  maken.

[Pjotr]

Lokale kwetsbaarheden die fysieke toegang van de aanvaller vereisen (zeurderig gemiereneuk als SSH daargelaten) zijn sowieso niet zo heel erg spannend. Goed dat het gedicht is, dat wel. Maar nou niet bepaald iets wat in brand stond. 

[partyrabbit]

Je weet toch hoe dat gaat in een dorpje Pjotr, waar rook is ..... moet alles afgebrand zijn eer het aan de andere kant van het dorp is als het aan sommigen ligt.

En nu ga ik Ubuntu wéér updaten (des egt, kik mar). Nou zijn de TIFF afbeeldingen weer zwaar bedreigend.
Wat een lek mandje zeg, misschien moet ik maar op win overstappen. 

[MKe]

Lokale kwetsbaarheden die fysieke toegang van de aanvaller vereisen (zeurderig gemiereneuk als SSH daargelaten) zijn sowieso niet zo heel erg spannend. Goed dat het gedicht is, dat wel. Maar nou niet bepaald iets wat in brand stond. 

Voor thuisgebruik is het waarschijnlijk niet heel erg idd.
Voor bedrijven daarintegen... Je hebt daar veel meer kans op interne aanvallers. Vaak komen ze via physing binnen en er is er altijd wel een medewerker die daar intrapt. Hier zie je dus weer dat de ring van vuur om je netwerk heen echt een verouderd concept is. Partitionering van het netwerk is dus erg belangrijk om schade beperkt te houden. Voor bedrijven is dit soort informatie dus meer dan alleen paniek schoppen.

Ik vind de opmerking 'zeurderige gemierenneuk als SSH' een beetje denegrerend. Dat kan best op een andere manier gebracht worden, buiten het feit dat dit dus voor bedrijven wel degelijk speelt.

Maar wij moeten dus weer onze paar honderd CentOS servers gaan updaten en hopen dat er niets ernstigs omvalt.

[partyrabbit]

Voor thuisgebruik is het waarschijnlijk niet heel erg idd.
Voor bedrijven daarintegen... Je hebt daar veel meer kans op interne aanvallers. Vaak komen ze via physing binnen en er is er altijd wel een medewerker die daar intrapt. Hier zie je dus weer dat de ring van vuur om je netwerk heen echt een verouderd concept is. Partitionering van het netwerk is dus erg belangrijk om schade beperkt te houden. Voor bedrijven is dit soort informatie dus meer dan alleen paniek schoppen.

En een win pc ben je bij fysiek contact ook zo binnen. Als er sprake is van fysieke toegang tot de pc, of als een gebruiker er zelf aan mee werkt door inloggegevens te verstrekken is geen enkele OS veilig.

Dan nog is linux een flink strak geweven mandje terwijl win een zeef is. Dit argument is dan bij linux nog steeds een stuk minder aan de orde.

Dit is nou de tweede serieuze in een half jaar, jaar? Bij windows is dit volgens mij veel vaker aan de orde.

[Nero]

Dan nog is linux een flink strak geweven mandje terwijl linux een zeef is.

[partyrabbit]

Sorry. Tiepvoutje. Aangepast.

[MKe]

Voor thuisgebruik is het waarschijnlijk niet heel erg idd.
Voor bedrijven daarintegen... Je hebt daar veel meer kans op interne aanvallers. Vaak komen ze via physing binnen en er is er altijd wel een medewerker die daar intrapt. Hier zie je dus weer dat de ring van vuur om je netwerk heen echt een verouderd concept is. Partitionering van het netwerk is dus erg belangrijk om schade beperkt te houden. Voor bedrijven is dit soort informatie dus meer dan alleen paniek schoppen.

En een win pc ben je bij fysiek contact ook zo binnen. Als er sprake is van fysieke toegang tot de pc, of als een gebruiker er zelf aan mee werkt door inloggegevens te verstrekken is geen enkele OS veilig.

Dan nog is linux een flink strak geweven mandje terwijl win een zeef is. Dit argument is dan bij linux nog steeds een stuk minder aan de orde.

Dit is nou de tweede serieuze in een half jaar, jaar? Bij windows is dit volgens mij veel vaker aan de orde.

Zeker, maar dat neemt niet weg dat het nuttig is dat dit soort lekken gevonden worden en opgelost. Een dit soort lekken zijn dus ook niet triviaal, zoals sommigen hier kijken te denken.  Kost ons weer behoorlijk wat werk maar moet gebeuren. Wat de Windows jongens doen is hun zaak.

[partyrabbit]

Zeker, maar dat neemt niet weg dat het nuttig is dat dit soort lekken gevonden worden en opgelost. Een dit soort leken zijn dus ook niet triviaal, zoals sommigen hier kijken te denken.

Dat zei ik ook al. Helemaal mee eens.
Ik heb alleen wat moeite met de onnodig angstaanjagende standpunten die dan ingenomen worden. Dat kan (toekomstige) nieuwe linuxgebruikers onnodig bang maken en zelfs weerhouden, en dat zou jammer zijn. En die angstaanjagende standpunten zijn wel degelijk triviaal.

Ja mooi hè, hoe linux en zijn communitiy werkt?! Daar kunnen 'anderen' een puntje aan zuigen.
En mooi hoe dit elke keer in dit soort topics weer snel duidelijk wordt en gemaakt kan worden. Goede reclame zo voor linux.

En ik vind het wel interessant, wat voor soort lekken er heel soms toch ontdekt worden (en dan heel snel gedicht), want algemene dreigingen los van os.

[Theo71]

Maar zeker fijn dat het nu (eindelijk) is gerepareerd zodat de onderzoekers hun bevindingen openbaar kunnen  maken.

Zullen we het er maar ophouden dat Systemd al niet erg populair was in 2013? En er ook verschillende distributies het ook niet vanaf dag 1 als standaard gebruikten? Een drama verzinnen kan ik ook wel. Een hele kleine groep was kwetsbaar, en in 2013 was dat nog minder. Systemd is een keuze, je kunt vandaag de dag nog prima zonder.

[testcees]

Vaak is zo'n gat al gerepareerd voordat het nieuwsbericht is gepubliceerd. In dit geval precies één dag na publicatie. 

Een goede onderzoeker (een "white hat", zoals in deze medewerkers van Qualys) zal altijd bevindingen (vertrouwelijk) melden bij de ontwikkelaar(s) en wachten met publicatie van het "veiligheidslek". (Responsible disclosure).

Een goede onderzoeker zal (zeker bij open source software) een advies geven over de mogelijkheden voor reparatie maar het is desondanks niet te verwachten dat zo’n reparatie in één dag volledig kan worden gebouwd, getest, doorgevoerd en gepubliceerd (hoewel je dat wel zo kan denken als je de datum van publicatie van het nieuwsbericht en de reparatie naast elkaar ziet).

Een goede onderzoeker moet en zal de ontwikkelaar(s) voldoende tijd geven om de reparatie op een verantwoorde manier uit te brengen en dat is meer dan één dag.

[Pjotr]

Vaak is zo'n gat al gerepareerd voordat het nieuwsbericht is gepubliceerd. In dit geval precies één dag na publicatie. 

Een goede onderzoeker (een "white hat", zoals in deze medewerkers van Qualys) zal altijd bevindingen (vertrouwelijk) melden bij de ontwikkelaar(s) en wachten met publicatie van het "veiligheidslek". (Responsible disclosure).

Een goede onderzoeker zal (zeker bij open source software) een advies geven over de mogelijkheden voor reparatie maar het is desondanks niet te verwachten dat zo’n reparatie in één dag volledig kan worden gebouwd, getest, doorgevoerd en gepubliceerd (hoewel je dat wel zo kan denken als je de datum van publicatie van het nieuwsbericht en de reparatie naast elkaar ziet).

Een goede onderzoeker moet en zal de ontwikkelaar(s) voldoende tijd geven om de reparatie op een verantwoorde manier uit te brengen en dat is meer dan één dag.

Wat wil je daarmee zeggen? Wil je die onderzoeker in een kwaad daglicht stellen met je insinuaties?

Wie zegt dat hij dat niet heeft gedaan? Het korte tijdsverloop (één dag) doet juist vermoeden dat er wel degelijk vooroverleg heeft plaatsgevonden.

[testcees]

Wat wil je daarmee zeggen? Wil je die onderzoeker in een kwaad daglicht stellen met je insinuaties?

Nee, natuurlijk niet. Ik wil juist zeggen dat de onderzoekers netjes hebben gewacht met publicatie en dat niets zegt over de snelheid van de reparatie.