Получение привелегий ROOT в ОС Ubuntu 11.04 (и ранних)

[ldv290384e]

Я считаю, что обнаружил серьёзную уязвимость. Обнаружил на своей Ubuntu 10.04.2. Протестировал на свеже установленных 10.04.2, 10.10, 11.04а3. Суть:

В ОС Ubuntu от 11.04а3 и ранее, можно получить привилегии пользователя ROOT не зная пароля, не обладая ключом и вообще не будучи зарегистрированным в системе. Достаточно того чтобы система имела раздел SWAP или любой дополнительный раздел (подключенных жёстко, т.е. указанный в скриптах инициализации) файловую систему которого можно изменить (отформатировать или конвертировать). Когда система не находит раздела с указанными параметрами, злоумышленнику имеющему локальный доступ к компьютеру предлагается исправить данную ошибку. При этом, ОС сразу открывает консоль от имени пользователя ROOT. Ни как не проверяя личность пользователя. "WELCOME, НЕЗНАКОМЕЦ! ЧИНИ МЕНЯ"...

Подозреваю, что ошибка семейная и другие Debian-based тоже могут этим страдать. Т.к. данная часть системы довольно "общая".

Собственно, уважаемое сообщество, обращаюсь к вам со следующей тудушкой:

1. Узнать не заявлена ли уже данная уязвимость куда либо;

2. Протестировать наличие уязвимости на разных компах и разных дистрибутивах;

3. Подготовить грамотный багрепорт, перевести его на инглиш и подписать куда надо.

Для наглядности подготовил видео - http://www.youtube.com/watch?v=TSEwxeIJ2Fc :

<object width="960" height="750"><param name="movie" value="https://www.youtube-nocookie.com/v/TSEwxeIJ2Fc?fs=1&amp;hl=ru_RU&amp;hd=1"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="https://www.youtube-nocookie.com/v/TSEwxeIJ2Fc?fs=1&amp;hl=ru_RU&amp;hd=1" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="960" height="750"></embed></object>

[Lion-Simba]

1. Если у тебя есть локальный доступ к управлению компьютером (монитор, клавиатура), ты и без всякого swap можешь его перезагрузить в "режиме восстановления".
2. Если, более того, у тебя есть локальный доступ к самому компьютеру (системному блоку, то бишь), то ты с помощью отвертки можешь вытащить жесткий диск и унести с собой в безопасное место, где можно делать с ним, что душе угодно.
3. На "режим восстановления" можно повесить пароль. Достаточно задать пароль руту, который в Ubuntu по умолчанию не задан.

[bmw_uu]

Если есть локальный доступ проще в single user mode загрузится, по умолчанию даже есть пункт в grub для этого. Ну или можно вытащить НЖМД и делу край. От локального доступа можно защититься только шифрованием, такова селяви.

[ldv290384e]

1. Если у тебя есть локальный доступ к управлению компьютером (монитор, клавиатура), ты и без всякого swap можешь его перезагрузить в "режиме восстановления".

Я не искал пути взлома. Режим восстановления есть режим восстановления. Его можно выпилить (что я регулярно и делаю). Я о наличии конкретной последовательности действий, которой, на мой взгляд, быть не должно.

2. Если, более того, у тебя есть локальный доступ к самому компьютеру (системному блоку, то бишь), то ты с помощью отвертки можешь вытащить жесткий диск и унести с собой в безопасное место, где можно делать с ним, что душе угодно.

Да-да-да. В энтерпрайзе, под глазком видеокамеры, разобрать системный блок и пронести винчестер мимо охраны. Я ведь рекомендую людям внедрять Ubuntu в бизнесе, консультирую их. И если ЭТО нормальное поведение, то мне станет очень совестно за свои рекомендации.

3. На "режим восстановления" можно повесить пароль. Достаточно задать пароль руту, который в Ubuntu по умолчанию не задан.

А вот это, как раз, нужно проверить - приведёт ли установка пароля на рута к закрытию этой дырки. И в любом случае, с этим нужно что-то делать. Ещё один пункт в списке обязательных модификаций - не есть гуд.

[gregory5]

Я так и не понял, как изменить \ сконвертировать и т.д. раздел без привилегий?

[gregory5]

 
это баг? с лайва перекорячить почти всё можно и в винде и в маке, кошмар ГалактиКо в опасности? что за юмор такой?

[Norrius]

Режим восстановления есть режим восстановления. Его можно выпилить (что я регулярно и делаю).

Ага. А ничего, что можно изменить опции загрузки вручную прямо из Grub'а и получить тот же single mode?

[ldv290384e]

Ночь. Неадекваты лезли в сеть... я не буду спорить баг это или нет. Наблюдая за дырой в беззопасности, говорить, что это всё фигня, потому-что есть куча штатных.... *FACEPALM*

[gregory5]

Тогда надо бы ещё и chroot назвать багом, как же так, злоумышленик сменит все пароли и перековыряет всю ОС, извини, но я тебя не понимаю

[ldv290384e]

Ага. А ничего, что можно изменить опции загрузки вручную прямо из Grub'а и получить тот же single mode?

Ага, ничего. Можно не просто выпилить пункт меню, но и закрыть всё остальное. Вплоть до смены Grub, если что.

[Norrius]

Запретить паролями доступ к биосу, сделать приоритетной загрузку с харда, залочить изменение параметров загрузки, зашифровать все разделы, опечатать корпус, поместить его в сейф, сейф на ключ, ключ никому не давать. И будет счастье.

[Haron Prime]

Запретить паролями доступ к биосу, сделать приоритетной загрузку с харда, залочить изменение параметров загрузки, зашифровать все разделы, опечатать корпус, поместить его в сейф, сейф на ключ, ключ никому не давать. И будет счастье.

Не будет! Т.к. для полного счастья нужно ключ проглотить, запереться изнутри в комнате без окон со стенами, обитыми чем-нибудь мягким, а ключ от комнаты тоже проглотить. Вот тогда будет счастье! )))

[ArcFi]

Уязвимость -- это возможность загрузиться с live-cd и получить при этом полный доступ к разделам диска.

И в любом случае, с этим нужно что-то делать.

1) опечатать корпус;
2) поставить пароль на биос;
3) запретить загрузку со сменных носителей;
4) поставить пароль на grub;
5) установить пароль для пользователя root.

[ldv290384e]

Уязвимость -- это возможность загрузиться с live-cd и получить при этом полный доступ к разделам диска.

Уязвимость - это, к примеру в организации, возможность одного пользователя получить права root и попасть в домашнюю папку другого пользователя с неизвестными целями. Или получить права и поменять себе любимому разрешения и залезть туда, куда по должности лезть не положено. А загрузка со сменных носителей нужна. Т.к. именно вынос загрузки на флешку позволяет держать на основном винте только шифрованные(!) разделы. А из-за этой фигни, у сотрудника появляется отличная возможность это всё обойти менее чем за пять минут. И хорошо, если он только правила iptables поправит...

А как было бы хорошо, если б предложения исправить ошибку при таком затыке не возникало. Простое замечание, что вот мол "произошло" и продолжаем загрузку дальше.

[ArcFi]

А загрузка со сменных носителей нужна. Т.к. именно вынос загрузки на флешку позволяет держать на основном винте только шифрованные(!) разделы.

Это совсем другая история.
Если действительно необходимо -- не запрещайте.
Однако, п. 4 и 5 всё равно необходимо выполнить.