Kleiner Nachtrag von letzter Woche. Es gibt eine neue Schwachstelle, CVE-2024-28085 (WallEscape), die sich auf den "wall"-Befehl in util-linux auswirkt. Dadurch können möglicherweise Passwörter offengelegt oder Zwischenablagen auf Linux-Distributionen wie Ubuntu und Debian verändert werden.
Anzeige
The Regjster hat die Details in diesem Beitrag offen gelegt und weist in nachfolgendem Tweet darauf hin. Die Schwachstelle wirkt sich sich auf den "wall"-Befehl des util-linux-Pakets aus.
A new #vulnerability, CVE-2024-28085, dubbed "WallEscape," impacts the "wall" command in util-linux, potentially exposing passwords or altering clipboards on #Linux distros like #Ubuntu & Debian. Read more
Der "wall"-Befehl wird verwendet, um eine Nachricht auf die Terminals aller Benutzer zu schreiben, die derzeit auf einem Server angemeldet sind. Dies ermöglicht es Benutzern mit erhöhten Rechten, wichtige Informationen an alle lokalen Benutzer zu senden (z. B. ein Herunterfahren des Systems).
Die Schwachstelle CVE-2024-28085 wurde von Sicherheitsforscher Skyler Ferrante unter dem Codenamen WallEscape öffentlich gemacht. Er schrieb: "Der Befehl util-linux wall filtert keine Escape-Sequenzen aus Befehlszeilenargumenten. Das erlaubt unprivilegierten Benutzern beliebigen Text auf die Terminals anderer Benutzer zu schicken, wenn mesg auf "y" und wall auf "gid" gesetzt ist." Die Sicherheitslücke wurde im Rahmen eines Commits vom August 2013 in den Code eingeschleust.
CVE-2024-28085 wirkt sich auf Ubuntu 22.04 und Debian Bookworm aus, da dort diese beiden Kriterien erfüllt sind, schreibt The Register. CentOS hingegen ist nicht verwundbar, da der wall-Befehl nicht über setgid verfügt. Laut Ferrante gibt es unter Ubuntu 22.04 genug Kontrolle, um das Passwort eines Benutzers standardmäßig auszuspähen. "Der einzige Hinweis auf einen Angriff für den Benutzer ist eine falsche Passwortabfrage, wenn er sein Passwort korrekt eingibt, und sein Passwort ist in der Befehlshistorie zu finden."
Anzeige
Ebenso könnte ein Angreifer auf Systemen, die das Senden von Wall-Messages erlauben, die Zwischenablage eines Benutzers durch Escape-Sequenzen auf ausgewählten Terminals wie Windows Terminal verändern. Auf GNOME Terminal funktioniert dies nicht. Benutzern wird empfohlen, auf util-linux Version 2.40 zu aktualisieren, um die Schwachstelle zu beheben.
Anzeige
linux-util CVE-2024-28085 wirkt sich auch für Andere aus, so patcht zB:
Es werden einzelne *debs gepatcht, Folgende sind betroffen (Quelle Debian):
bsdextrautils | bsdutils | eject | fdisk | libblkid1
libfdisk1 | libmount1 | libsmartcols1 | libuuid1
mount | rfkill | util-linux | uuid-runtime
Um Fragen vorzubeugen – wie oft kann die Versionierung abweichen. Bei Debian haben gefixte Kandidaten (also die Liste oben) die Versionen:
Patching OK auf 4 Systemen ohne Probleme zur Laufzeit.
Keiner hat mir (wär ja auch mal nett so zu Ostern) irgendwelche Nachrichten aufs Terminal geschickt :-( falls Ihr wollt: tty666
Sie haben ihren Kommentar 15 min zu früh abgesandt, bester Süddäne!
Denn tty666 ist das Terminal von @Luzifer.