Debian 10 (Buster) è in freeze, ma prima della release 150 bug critici vanno risolti

Le date di uscita delle release di Debian, non sono mai state certe. Infatti la distribuzione che è alla base di numerose altre (Ubuntu su tutte) punta tutto sulla qualità: il software che esce magari non è l’ultima release disponibile, ma è certamente la più stabile al momento della pubblicazione. La prossima release di Debian sarà la 10, battezzata Buster, come il cane della serie Toy Story (le release di Debian sono tutte nominate sui personaggi del film Pixar): Il fatto è che, per le ragioni di cui sopra, prima che Debain 10 veda i natali, almeno in termini di release candidate (o RC), sarà necessario risolvere ben 150 bug ritenuti critici. Il tutto è spiegato molto chiaramente all’interno di questa mail di Jonathan Wiltshire, del team release di Debian. In realtà non c’è da impressionarsi relativamente ai numeri. Certo, 150 bug critici sono molti, ma è tutto in linea con le release precedenti. In ogni caso la prossima release sarà certamente un buon banco di prova per dissipare le nubi emerse sul progetto recentemente, a partire dalla nomina del nuovo Debian Project Leader per arrivare alle defezioni eccellenti nel parco sviluppatori di cui abbiamo parlato nell’ultimo mese. Staremo a […]

Continue reading

Un bug di snapd da accesso root ai sistemi Canonical

Un paio di giorni fa vi abbiamo messo in guarda per un grave bug in runC, la runtime di Docker; se avete corso e patchato il vostro sistema avete fatto un ottimo lavoro, ma se siete utenti delle diverse distribuzioni Canonical che utilizzano snapd (Ubuntu in primis) non potete ancora tirare un sospiro di sollievo. Già perchè proprio in questi giorni Chris Moberly, ricercatore nell’ambito della sicurezza, ha scoperto un bug, battezzato “Dirty_Sock” (calzino sporco [nda]) che seppur affligga prevalentemente i sistemi Canonical, in realtà colpisce tutti i sistemi Linux che utilizzano il demone snapd. Gli Snap, di cui abbiamo già parlato in articoli passati, sono applicazioni distribuite in pacchetti che contengono tutte le librerie, i file e gli eseguibili necessari all’esecuzione di quella specifica applicazione, rendendoli quindi autosufficienti e funzionanti anche senza dover direttamente installare nel sistema tutte le dipendenze necessarie. Il bug, rilasciato in ben due versioni dirty_sockv1 e dirty_sockv2, permette tramite l’uso di diverse metodologie, di fare privilege escalation, permettendo quindi al contenuto del pacchetto, tipicamente eseguito come utente normale, di eseguire comandi con l’utente root, l’amministratore di sistema. E, come ben sappiamo, quando qualcosa esegue senza la nostra esplicita conferma comandi come root, il sistema è […]

Continue reading

C’è un grave bug in runc, la runtime di Docker (e nemmeno LXC è al sicuro)

Brutto risveglio per gli utilizzatori di container questa mattina, all’interno di un messaggio apparso in nottata su seclist.org è stata annunciata l’esistenza di un grosso bug relativo alla runc. Se il nome non vi dice nulla, basti sapere che runc è la runtime (l’insieme di tutto il codice utilizzato per interagire con le funzionalità di sistema relative ai container) alla base di Docker, containerd, Kubernetes e via dicendo. Insomma, chiunque utilizzi i container deve prestare molta, moltissima attenzione. Nel dettaglio la falla è così descritta: The vulnerability allows a malicious container to (with minimal user interaction) overwrite the host runc binary and thus gain root-level code execution on the host.La vulnerabilità permette ad un container malevolo di riscrivere (con una minima interazione dell’utente) i binari runc dell’host ed in questo modo guadagnare i privilegi di root sullo stesso. Basta quindi avere un container che giri con privilegi di root (di default è così che funziona Docker) che sia basato su un’immagine malevola ed il “gioco” è fatto. Le patch al problema sono state pubblicate e questa mattina chiunque abbia lanciato un update sulla propria distribuzione avrà visto i propri pacchetti docker aggiornarsi. Va precisato comunque come non sia solo Docker ad […]

Continue reading

C’è un brutto bug in apt (Debian, Ubuntu) che fortunatamente è stato già risolto

Il 22 gennaio scorso, ossia tre giorni fa, Max Justicz ha pubblicato un interessante articolo nel quale mostra come sia possibile ottenere i privilegi di utente root per eseguire codice arbitrario mediante l’utilizzo del tool apt. apt è il comando standard attraverso il quale, letteralmente da decenni, è possibile installare programmi su sistemi Debian e derivati (quindi Ubuntu, Mint e via dicendo). Ebbene, Justicz ha identificato una falla attraverso la quale è possibile intervenire durante il processo di installazione di un pacchetto, sostituendo una specifica redirect verso un nuovo pacchetto malevolo appositamente creato il quale, ovviamente, permette di eseguire codice con i massimi permessi concessi: quelli di root. L’articolo oltre ad essere molto utile rappresenta un ottimo esempio di come sia possibile condividere informazioni complesse mediante spiegazioni chiare e POC (Proof Of Concept) replicabili. Poiché si sa, un conto è leggere, un conto è provare con le proprie mani quanto viene spiegato. La buona notizia è che, come sempre, la community si è subito attivata per risolvere il problema. All’interno di Debian è subito partito un thread dedicato all’argomento e la soluzione è stata resa disponibile in maniera praticamente immediata. Basterà quindi tenere i propri sistemi aggiornati per non essere […]

Continue reading

Un bug presente da due anni in X.Org permette di diventare root in Linux e BSD

Nei giorni scorsi, il ricercatore Narendra Shinde, ha scovato un bug nel servizio X.Org (la componente che gestisce l’ambiente grafico) che consente ad un utente limitato di effettuare una privilege escalation fino a diventare root. Il bug è presente da almeno due anni, precisamente dalla versione 1.19.0; la CVE assegnata è  CVE-2018-14665: An incorrect permission check for -modulepath and -logfile options when starting Xorg X server allows unprivileged users with the ability to log in to the system via physical console to escalate their privileges and run arbitrary code under root privileges. Un controllo non corretto delle opzioni -modulepath e -logfile durante l’avvio di Xorg X Server consente ad utenti non privilegiati con la possibilità di loggare tramite una console fisica di alzare i privilegi ed eseguire codice arbitrario con permessi di root. Nonostante la CVE parli di accesso locale alla console, Matthew Hickey (Hacker House), ha creato e reso pubblico un exploit che permette di sfruttare il bug tramite una sessione SSH. Simpatico botta e risposta poi tra Hickey e Michael Shirk (Daemon Security) che ha proposto un’alternativa allo script iniziale proposto per l’exploit: I raise you and fit entire exploit in one line & tweet 😉 https://t.co/OmUkIQdNcK — […]

Continue reading