Zwei Sicherheitslücken auf die wir lange warten mußten!

Darauf mußten wir lange, lange warten:

THN: 36 Jahre alte Sicherheitslücke in SCP entdeckt!

Wie die Hacker News berichten, gibt es in SCP eine 36 Jahre alte Lücke, die es einem böswilligen Server erlaubt, beliebige Files beim Benutzer zu überschreiben.Da fast alle Implementierung vom alten Originalcode abstammen, sind sehr viele Anwendungen davon betroffen. Es können z.B. verstecke Bash-Files im Home (eines Unix/Linux/Macusers ) erzeugt werden, die als ANSI Codes übermittelt werden. Möglich wird die mangels guter Prüfung des erhaltenen Contents durch SCP. Da scp üblicherweise in der Shell eingesetzt wird, könnte das praktische ausnutzen der Schwachstelle in der Regel schwierig werden, da man sich nur zu bekannten Server mit SCP verbindet. Jemanden da per Spam hin zu bekommen, könnte schwer fallen.

Auch lange warten mußten wir auf diese Meldung, die nicht minder prikär ist, vielleicht sogar noch schlimmer:

heise.de : Forscher brechen aus Docker-Container aus

Ich persönlich warte ja schon länger auf diese Meldung, aber verwundern wird sie wohl keinen. Die Hauptkritik an Container ist ja, daß die darin enthaltene Software nicht aktuell gehalten sein wird, weil sonst könnte der Entwickler die Anwendung ja auch prima auf einem normalen System starten. Natürlich gibt es noch andere Gründe für einen Container: Transferierbarkeit, Skalierbarkeit  usw. aber uns interessiert die Sicherheit natürlich mehr. Wenn ich jetzt Software von Anno Schnee in einem Container habe, der nicht aktualisiert wird, weil „wieso, geht doch!“, das übliche Argument der Neulandmanager halt, dann habe ich jetzt endlich den Exploit, der mir bisher fehlte, um aus dem Schrott auszubrechen. VMs sind übrigens nicht anders, nur einer VM kann ich ( ICH!! ) sagen, daß das System dadrin aktualisiert werden soll. Bei „Docker“ ist das ein Heckmeck sondergleichen, wenn die Funktion nicht vorgesehen ist.

Die „Play with Docker“ Containerumgebung wird nicht die Einzige sein, die mit „wieso, kann doch keiner ausbrechen“ als Argument, die Anwendung mit erhöhten Rechten laufen läßt. Es wird also spannend werden, wenn man Docker einsetzt. Eine Lücke mehr, die man stopfen muß. Das sollte man sich vor Augen halten.

Bullshit: Snappy auf Fedora

In einem Blog-Beitrag auf seiner Webseite hat sich Adam Williamson, seines Zeichens bei Red Hat für die Fedora QA/QS zuständig,  über Snappy und die unglückliche Pressemitteilung von Ubuntu ausgelassen.

Kurz zusammengefaßt heißt es da, daß Ubuntu bei Fedora zwar wegen Snappy angefragt hat, aber nur zu dem Zweck, um zu erfahren, wie man die Pakete für Fedora bauen muß. Ansonsten gibt es  keine Zusammenarbeit von Ubuntu und Fedora in dem Punkt.

Die weiteren Statements sind privater Natur und spiegeln wider, was auch ich über so ein Vorhaben wie Snappy denke. Dazu muß man jetzt aber wissen, was Snappy machen soll.

In der Kurzfassung: Snappy ermöglicht es Dockercontainer gleich, eine Anwendung mit all Ihren Libs und Konfigfiles als Ganzes unabhängig vom Betriebssystem in einem dicken BinaryBlob (ein monolithisches Binärfile) zubündeln und damit direkt ausführbar zu machen. Als Folge davon, und das ist der Hauptkritikpunkt, handelt man sich ggf. komplett veraltetet Versionen ein, weil der Entwickler des eigentlich Hauptprogramms keinen Bock hat, seine Anwendung auf Stand zu halten. Im Prinzip hat man eine LTS Version, nur völlig ohne das S , was hier wahlweise für Support oder Sicherheit stehen kann.

Dazu kommt laut AdamW noch, daß Ubuntu Fedora Pakete ohne das Confinement anbietet, was die einzige Sicherheitshürde darstellt, wenn es denn überhaupt an ist. Confinement meint, das Ausführen in einer Sandbox, wo eine Sicherheitslücke in der Anwendung eben gerade nicht das Hostsystem kompromitieren kann.

Dieser Punkt ist aber IMHO nicht verhandelbar. Es muß immer sicher sein und unsichere Softwareversionen kommen einfach nicht auf den Tisch. Man muß sich ernsthaft fragen, ob bei Ubuntu noch alle Latten im Zaun sind, seid Sie mit Microsoft enger zusammenarbeiten.

Am Ende möchte ich AdamW noch kurz zu Wort kommen lassen 🙂

This is, to put it diplomatically, a heaping pile of steaming bullshit. You may not be surprised to learn that said pile has been served by the Canonical press department.

Noch Fragen ? 😀