rootbash mit suid ein sicherheitsrisiko??

[marcel]

Hi!!

Ich spiele mit dem Gedanken einen Webserver laufen zulassen und eventuell Bekannten per confixx zugriff zugeben. Mir fällt aber gerade ein das ich mal irgendwo gelesen habe, das es möglich sein soll wenn man eine Bash mit gesetztem root-suid tar't und auf dem srever entpackt es möglich ist dann mit dieser bash (wegen des suid) auf dem server root zu erlangen was natürlich nicht wünschenswert ist. Das kann doch eigentlich ned gehen weil der "Angreifer" sie zB per webshell starten könnte aber nicht drauf zugreiffen kann, oder was meint ihr?? Ich werde auf jeden Fall keine cgi's zulassen um der webshell en riegel vorzuschieben, aber reicht das aus?

Kennt ihr was confixx-ähnliches was besser und/oder kostenlos ist?

Habt ihr evtl. auch noch ein paar Sicherheitstipps?

Danke im vorraus, marcel ;o)

PS: Ach ja auf meinem server läuft gentoo

[mausgreck]

Code: Select all

$ touch blah
$ chown root blah
chown: changing ownership of `blah': Operation not permitted
$

Patient: Doctor, it hurts when I...
Doctor: Don't do it then!

[marcel]

Also ich muss noch dazu sagen ich kenn mich noch ned sooo gut aus mit linux.

@mausgreck:

Ich vermute du willst andeuten das chroot die Dateiberechtigungen der einzelnen Dateien nach dem Entpacken korrigiert?? Das is mir schon klar aber wenn ich die bash zusammen mit nem DVD-Image in ein Tar stecke wo mein Server erstmal 5min braucht um tar abzuarbeiten und danach erst die Dateiberechtigungen von chroot korrigiert werden hat ein eventueller angreifer ja 4 Min 59 zeit mein System mit der bash zuvergewaltingen nich?

[Roger Wilco]

Das is mir schon klar aber wenn ich die bash zusammen mit nem DVD-Image in ein Tar stecke wo mein Server erstmal 5min braucht um tar abzuarbeiten und danach erst die Dateiberechtigungen von chroot korrigiert werden hat ein eventueller angreifer ja 4 Min 59 zeit mein System mit der bash zuvergewaltingen nich?

Du kannst erst gar keine Dateien schreiben, die dir nicht gehören. Also: nein, der Angreifer hat dann nicht 4:59 Zeit, da die Datei erstmal gar nicht root gehört.

[mausgreck]

???
Warum, um Himmels willen, würdest du eine suid-root bash installieren? Ich kann das beim besten Willen nicht nachvollziehen. Das ist ja wie sich in den Fuss zu schießen - klar kann man, aber wozu?
*confused*

[marcel]

Ich spiele mit dem Gedanken einen Webserver laufen zulassen und eventuell Bekannten per confixx zugriff zugeben. Mir fällt aber gerade ein das ich mal irgendwo gelesen habe, das es möglich sein soll wenn man eine Bash mit gesetztem root-suid tar't und auf dem srever entpackt es möglich ist dann mit dieser bash (wegen des suid) auf dem server root zu erlangen was natürlich nicht wünschenswert ist. Das kann doch eigentlich ned gehen weil der "Angreifer" sie zB per webshell starten könnte aber nicht drauf zugreiffen kann, oder was meint ihr?? Ich werde auf jeden Fall keine cgi's zulassen um der webshell en riegel vorzuschieben, aber reicht das aus?

Wie sagt man beim Bund immer so schön "Wer lesen kann is klar im Vorteil" :o)


Nee, im Ernst, ich hab mal gelsen das es so möglich ist rootrechte zuerlangen, aber das will ich für meinen server natürlich unterbinden, aber ich hab damals als ich es gelesen hab ned sorichtig verstanden wies funktioniert und daher auch nicht wie man es verhindert, verstehst?

[basiaf]

Niemand ausser root kann Dateien unter anderem Benutzernamen anlegen. auch wenn etwaige benutzer z.B. in einer tar datei vorhanden sind können diese nicht in das dateisystem geschrieben werden.
beim erstellen/enpacken/... werden Dateien immer unter dem aktuellen benutzer erstellt, nachträglich wird da nichts geändert, so dass auch eine suid-datei nicht einen Taktzyklus unter anderem Benutzer auf der festplatte ist. Alles andere wäre wohl auch eine eklatante Fehlentwicklung, welche bei einem durchdachten System wie Linux eigendlich eher selten vorkommt (zumindest bei so rudimentären sachen :twisted: ) ...

[marcel]

Für alle die es interessiert, hier der Ausschnitt aus dem Artikel:

... Eine Diskussion in einer Sicherheits-Mailingliste zeigte mir eine dritte Möglichkeit: Tar kann auch eine mit SUID versehne BASH entpacken: Allerdings läuft danach das chroot-kommando, das die Root-Rechte wieder entfernt. Ich muss also die Race Condition gewinnen. Mit einem Grossen zeitaufwändigem Archiv sollte mir das nicht schwer fallen...

... Ich habe eine weitere Idee wie ich die Race Condition zwischen Tar und chroot umgehen kann: Meine Verzeichnissstruktur sieht folgendermassen aus:

Code: Select all

~/files - /tmp/target
/tmp/target
/tmp/restore
/tmp/restore/files.tar.gz

Ich fordere ein Restore für "~/files" an. Als erstes läuft "cd ~/files; tar xzf ../restore/files.tar.gz". Wegen des Symlinks wird "/tmp/target" zum Arbeitsverzeichniss, Tar entpackt daher "/tar/restore/files.tar.gz" inklusive SUID-Root-Bash. Anschliessend läuft "chown -R $user ~/files" das aber nur den Owner des Links setzt, nicht den des Zielverzeichnisses. Die Shell gehört also weiterhin Root und behält ihr SUID-Bit.


Ich wollte wissen wie man das verhindern kann.

[Anonymous]

Es gibt keine Race-Condition. Wenn du als normaler Benutzer (nicht root) ein .tar entpackst, wird dieses dich selbst als Besitzer haben, nicht root, da tar ja vom Benutzer ausgeführt wird und damit auch nicht die Berechtigungen besitzt, den Besitzer zu ändern (siehe mausgrecks ersten Post). Dass tar irgendwie installiert ist, ist dabei unerheblich.
Wirklich. :)

[mausgreck]

Ich fordere ein Restore für "~/files" an. Als erstes läuft "cd ~/files; tar xzf ../restore/files.tar.gz". Wegen des Symlinks wird "/tmp/target" zum Arbeitsverzeichniss, Tar entpackt daher "/tar/restore/files.tar.gz" inklusive SUID-Root-Bash. Anschliessend läuft "chown -R $user ~/files" das aber nur den Owner des Links setzt, nicht den des Zielverzeichnisses. Die Shell gehört also weiterhin Root und behält ihr SUID-Bit.

Warum probierst du es nicht aus, bevor du Schauermärchen postest?
Mein tar setzt das suid-Bit erst *nach* dem owner.

[marcel]

wie eingangs erwähnt habe ich nicht ganz verstanden wie dieser böse mensch den server auf diese weise verunden konnte. Ausserdem spielt das Szenario in einer Confixx-Umgebung von der auch (mit Systemrechten vermute ich - da confixx in /root liegt) chroot nach tar vom backup-confixx-skript aufgerufen wird. Es wird jawohl kein noch so dummes skriptkiddie nach dem es ne rootshell hat als user chroot drüberlaufen lassen.

Ich wollte nur mal wissen wo der Admin den Denkfehler hatte damit ich ihn bei meim server ned auch mache und dachte jemand kann mir helfen.

PS: Es handelt sich nicht um ein Schauermärchen sondern um nen stinknormalen Servereinbruch der im Linux-Magazin 10/04 dokumentiert wurde. Wenn die Mods ihr ok geben kann ich den Artikel ja mal einscannen und posten??

[Roger Wilco]

Du verwechselst konsequent chmod und chroot. Nur mal so als Anmerkung.

Ausserdem spielt das Szenario in einer Confixx-Umgebung von der auch (mit Systemrechten vermute ich - da confixx in /root liegt) chroot nach tar vom backup-confixx-skript aufgerufen wird.

Das war ein Exploit (unter vielen :roll: )in Confixx, welcher mit Version 3.0.4 gefixt wurde.
Du kannst gerne nochmal den Originalthread auf Full Disclosure durchlesen...

Ich wollte nur mal wissen wo der Admin den Denkfehler hatte damit ich ihn bei meim server ned auch mache und dachte jemand kann mir helfen.

Kein Denkfehler, sondern einfach eine anfällige Version von Confixx.

PS: Es handelt sich nicht um ein Schauermärchen sondern um nen stinknormalen Servereinbruch der im Linux-Magazin 10/04 dokumentiert wurde. Wenn die Mods ihr ok geben kann ich den Artikel ja mal einscannen und posten??

Ich bin zwar kein Mod, aber ich denke nicht, dass du den Artikel posten solltest. Das gibt nur Probleme mit dem Urheberrecht.
Eigentlich reicht es ja, den bereits erwähnten Thread auf Full Disclosure zu lesen.

[mausgreck]

Na vielleicht hättest du erwähnen sollen, dass du vom confixx-Backup-Skript redest. Das kann man ja nicht riechen... :P

[marcel]

is natürlich cool wenn ich mir die arbeit mache diesen blöden artikel extra einzuscannen und er dann von irgend nem brainbuster einfach gelöscht wird, aber ich weiss schon urheberrecht und so... hmmm und ich dachte immer bei linux is alles opensource und informationsfreiheit und der ganze schei ss..

vielleicht hätte der artikel ja ein paar members wirklich weitergeholfen, aber was interesserts mich, mehr als mir die arbeit zumachen es zu posten kann ich auch ned.

PS: ich dachte ihr habt wenigstens den arsch inner hose mich mal darauf hinzuweisen oder ne PN aber egal... wenn ihr diesen artikel löscht, könnt ihr mein profil auch gleich mit löschen echt sinnlos

[Roger Wilco]

und ich dachte immer bei linux is alles opensource und informationsfreiheit und der ganze schei ss..

Ja stimmt, Linux steht unter der GPL. Für den Artikel aus dem Linux-Magazin gilt das nicht. Besorg dir entweder eine schriftliche Genehmigung vom Linux New Media Verlag (-> http://www.linux-magazin.de/Kontakt) oder leb einfach damit, dass du den urheberrechtlich geschützten Artikel nicht einfach frei nach deiner Schnauze vervielfältigen darfst.