Setuid-Probleme auf Debian-Abkömmlingen
Ein schlampig programmiertes Setuid-Tool aus dem VMware-Paket beschert Root-Rechte; doch die Ursachen reichen tiefer.
Security-Experte und -Troll Tavis Ormandy beweist sich als Betriebssystem-Agnostiker. Er deckt ein Problem auf, das auch eingeschränkten Accounts auf Debian-ähnlichen Systemen Root-Rechte beschert. Erst vor kurzem hatte er eine solche Privilege-Escalation-Lücke für Windows veröffentlicht.
Das Problem hat mehrere Ebenen; zunächst ist da das Setuid-Programm vmware-mount, das Bestandteil einer normalen VMWare-Installation ist und immer mit Root-Rechten läuft – egal, wer es startet. Es ist offenbar sehr nachlässig programmiert, und lässt sich auf triviale Art dazu bringen, eine Root-Shell zu öffnen. Dazu muss man lediglich vor dem Start die PATH-Variable anpassen. Das klappte etwa auf einem Ubuntu-System der Redaktion ohne Probleme. Der Hersteller hat auch bereits eine aktualisierte Version des Programms erstellt, die demnächst in Form eines Security-Updates auf dem System landen sollte.
VMware hat gegen recht viele Regeln für Setuid-Programme verstoßen, die eigentlich selbstverständlich sein sollten. Unter anderem sollte es tabu sein, dass dabei die Shell zum Einsatz kommt (wie in diesem Fall über den Funktionsaufruf system()). Leider haben solche Schlampereien lange Tradition und sterben offenbar auch nicht aus. Unter anderem deshalb hat der Maintainer der Bourne-Again-Shell bash eine zusätzliche Sicherung eingebaut, die genau dies verhindern soll und die zusätzlichen Rechte kurzerhand wieder abgibt. Allerdings kommt auf Debian-ähnlichen Systemen nicht die bash sondern die dash zum Einsatz und selbst in der Debian-Version der Bash wurde dieser Sicherheitscheck wieder unwirksam gemacht.
Tavis Ormandy lässt sich die Gelegenheit nicht entgehen, genüsslich auszuwalzen, dass dies geschah, um die Funktionsfähigkeit von UUCP sicherzustellen. Das ist ein Protokoll, das in den Urzeiten des Internet unter anderem zum Transport von Mail und News zum Einsatz kam. Tavis süffisante Zusammenfassung des Problems: "Dass ein Fehler, der sich normal nicht ausnutzen ließe, doch ausnutzbar ist, ist nun mal der Preis, den man für eine hochwertige UUCP-Unterstüzung im Jahr 2013 zahlen muss." (ju)
