30c3: Sicherheit bei X.org unter Linux mangelhaft

31.12.2013

Beim Chaos Communications Congress legt ein Sicherheitsforscher der Firma IOActive zahlreiche konkrete, aber auch konzeptuelle Sicherheitsmängel von X.org, dem Standardgrafikserver unter Linux, offen.

Der belgische Sicherheitsforscher Ilja van Sprundel hat beim diesjährigen Chaos Communications Congress (30c3) zahlreiche Sicherheitslücken des Grafikservers X.org vorgestellt. Der Titel seiner Präsentation nimmt das Fazit vorweg: "X-Security - It's worse than it looks" ("Es ist schlimmer als es aussieht").
Der Sicherheitsexperte hat seine Untersuchung vor einem Jahr begonnen und in Client- und Server-Seite von X.org aufgeteilt. Schon in der ersten Woche hat er auf der Client-Seite etwa 80 triviale Bugs ausfindig gemacht, die die X.org-Entwickler inzwischen behoben haben. Auf der Server-Seite läuft seine Untersuchung noch, bisher hat van Sprundel dort etwa 120 Fehler gefunden.
Die schlechte Nachricht lautet, dass X.org nach wie vor zahlreiche Angriffsmöglichkeiten bietet. An erster Stelle stehen dabei Programme und Bibliotheken, die dem Benutzer per Suid zusätzliche Privilegien gewähren. Van Sprundel nennt insbesondere KDE, bei dem unter anderem KCheckpass und KPPP unter einigen Distributionen wie Kubuntu mit gesetztem Suid-Bit installiert sind.
Besonders kritisch merkt van Sprundel an, dass die Qt- und KDE-Entwickler die Sicherheitsproblematik dabei nicht erkennen und auf den Benutzer beziehungsweise Distributor abwälzen. Hingegen lobt der Sicherheitsforscher den Ansatz, den die Entwickler der Grafikbibliothek GTK nehmen. Sie verbieten Suid-Applikationen generell; die vorgenommenen Sicherheitschecks hält van Sprundel allerdings für "zu weich".
Die Suid-Problematik stellt ein Problem dar, das die Sicherheit von Linux-Desktops in Frage stellt. Konfigurationswerkzeuge, Spiele mit gemeinsamer Highscore und Bildschirmsperren machen hiervon typischerweise Gebrauch und bieten Angreifern so ein mögliches Einfallstor.
Auf der Seite des X.org-Servers sieht Ilja van Sprundel die zahlreichen Erweiterungen als Hauptsicherheitsproblem. Dort hat er klassische Schwachstellen gefunden, beispielsweise fehlende Prüfungen von Rückgabewerten und mangelhafter Umgang mit Null-Werten. Zwar läuft seiner Untersuchung der Server-Seite von X.org noch, aber als generelles Problem hat van Sprundel hier die Tatsache identifiziert, dass der X-Server unter Linux mit Root-Rechten läuft. Ein vergleichsweise einfacher Ausweg wäre hier, die von OpenBSD bereits implementierte Trennung von Privilegien in den Userspace.
Als Fazit bleibt zu sagen, dass X.org unter Linux ein Sicherheitsrisiko darstellt, das aufgrund fehlender Alternativen und mangelnden Bewusstseins auf Seiten von Entwicklern und Distributoren bestehen bleiben wird. Als möglichen Ausweg sieht van Sprundel vor allem, X.org beispielsweise durch Wayland zu ersetzen.
In der Praxis stellt sich jedoch die Frage, ob sich die theoretisch erkannten Sicherheitsprobleme praktisch ausnutzen lassen. Der vollständige Vortrag steht auf Youtube zur Verfügung.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Massenhaft Sicherheitslücken in X.org

Ein Security-Experte hat im Code von X11-Client-Bibliotheken eine Menge von Fehlern gefunden, die sich unter Umständen von Angreifern ausnutzen lassen.

Artikel der Woche

Rechneranalyse mit Microsoft-Sysinternals-Tools

Der Rechner verhält sich eigenartig oder Sie haben eine unbekannte Applikation im Task Manager entdeckt und möchten erfahren, worum es sich dabei genau handelt und ob sie möglicherweise gefährlich ist? In so einem Fall helfen die Sysinternals-Tools von Microsoft. Dieser Beitrag stellt die drei Werkzeuge Autoruns, Process Explorer und TCPView vor. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018