Dedies-Board | Druckvorschau: Auch Linux-Thunderbird führt Shell-Befehle aus

Geschrieben von dedie am 22.09.2005 um 18:26:

Auch Linux-Thunderbird führt Shell-Befehle aus

Auch Thunderbird weist die gestern in Firefox bekannt gewordene Schwachstelle auf, durch die beim Programmaufruf mit URLs als Parameter Shell-Befehle ausgeführt werden. Dies könnte über mailto:-Links in Web-Seiten ausgenutzt werden, wenn Thunderbird als Standard-Mailprogramm im Browser eingerichtet ist.

Der Aufruf von Thunderbird über die Kommandozeile mozilla-thunderbird -compose 'mailto:test@da.de`id`' bringt den Befehl id zur Ausführung, in die Ziel-Adresse wird die Ausgabe des Programmes eingebaut. Der Fehler liegt abermals in dem Skript, das beim Programmaufruf ausgeführt wird. Hier wird die Eingabe nicht ausreichend überprüft.

Derzeit ist kein Workaround bekannt. Es ist auch nicht klar, wann eine neue Thunderbird-Version veröffentlicht wird, um den Fehler zu beheben. Im Bugzilla-Eintrag zur Firefox-Lücke wird Thunderbird bisher noch gar nicht erwähnt.

QUELLE

Geschrieben von MobyDuck am 22.09.2005 um 21:44:

Zitat:

Durch die neu entdeckte Lücke in den Linux-Versionen des Browsers können beim Programmaufruf von Firefox mit einer URL als Parameter beliebige Befehle auf der Shell ausgeführt werden.

(Zum identischen Fehler im Fx)

Eins vorab: Ich will nichts schön reden, aber ich habe ein Verständnis-Problem:

Ok, mit der entsprechenden URL kommt ein Angreifer auf die Konsole. Und dann? Mein sudo-Passwort hat er nicht, d.h. ans System kommt er nicht dran. Er könnte nicht mal meine auf Vorrat gespeicherten Wallpaper angucken. Weil kein entsprechender Dienst läuft. Einrichten könnte er ihn nicht, dafür braucht's sudo, siehe oben.

Bin ich da zu naiv? Für Aufklärung wäre ich dankbar.

Geschrieben von Vimes am 22.09.2005 um 22:08:

@Moby: wenn ich das richtig verstanden habe, ist es damit möglich, über einen Mailto-Link auf einer Webseite dem Thunderbird Shell-Befehle unterzujubeln. Soweit, so gut. Damit kann der Angreifer dann alles machen, was auf dem System lokal erlaubt ist - aber natürlich nichts, was nur root darf. Es sei denn, man surft als root, aber dann sollte man eigentlich Jacken tragen, die auf dem Rücken geschlossen werden.

Zugegeben, es bleiben ein paar häßliche Sachen übrig, die man auch als normaler User machen darf, z.B. rm -rf *, womit der Inhalt des aktuellen Verzeichnisses (das dürfte in der Regel das home-Verzeichnis des Users sein) vernichtet wird... aber für die richtig gemeinen Sachen bräuchte man root-Rechte. Siehe oben. Man könnte eventuell sogar Programme installieren, aber auch die nur lokal auf User-Ebene. Nichts Systemübergreifendes.

Insgesamt: Häßlich, aber nichts, was die Welt aus den Angeln hebt. Es gehört natürlich abgestellt... ein Würgaround wäre z.B., den Thunderbird unter einer eigenen Userkennung zu starten, die über sehr eingeschränkte Rechte verfügt. Für die ganz paranoiden unter uns... großes Grinsen

MfG
Vimes

Geschrieben von dedie am 22.09.2005 um 22:22:

@ MobyDuck & Vimes

Hat mal einer von euch zwei an die lieben Onus gedacht die sich Linux z.b. zum surfen eingerichtet haben, da man ja unter Linux keine Viren bzw. Trojaner und co. bekommen kann (wird zumindest in fast jeder Fachzeitschrift behauptet) . großes Grinsen

Meint da noch wer im Ernst das Onu sich die mühe macht nicht als Root(für die XPler als Admin) ständig unterwegs zu sein. Augen rollen

PS: man bedenke nur diesen unnötigen anmeldekram wenn man mal was ganz dringendes an der software bastel will, ist doch unnötig man kann doch mit Linux bedenkenlos als Root arbeiten ironie

Geschrieben von MobyDuck am 22.09.2005 um 22:25:

Hi Vimes,

danke für die Bestätigung, so sehe ich das auch. Natürlich gehört der Fehler gefixt, aber er ist mir nicht unbedingt ne schlaflose Nacht wert.

Zitat:

Es sei denn, man surft als root, aber dann sollte man eigentlich Jacken tragen, die auf dem Rücken geschlossen werden.

ACK. Es soll ja Leute geben, die einen Root mit Gewalt erzwingen wollen. Aber du hast Recht, üblich ist das nicht. großes Grinsen

Zitat:

Zugegeben, es bleiben ein paar häßliche Sachen übrig, die man auch als normaler User machen darf, z.B. rm -rf *

Ist klar. Aber kann man damit Geld verdienen, dicken Enten aus Wuppertal /home/$xy zu löschen? Unwahrscheinlich.

Zitat:

Man könnte eventuell sogar Programme installieren, aber auch die nur lokal auf User-Ebene.

Eben. Und dann? Was bringt es? Telefonieren könnten IMO die Programme nicht.

Gemessen an dem, was man so üblicherweise bei der Konkurrenz mit Industriestandard liest sehe das Leck ziemlich gelassen.

@ dedie
Sorry, habe deinen Beitrag gerade erst gelesen.

Zitat:

Meint da noch wer im Ernst das Onu sich die mühe macht nicht als Root(für die XPler als Admin) ständig unterwegs zu sein

Ja, da bin ich mir völlig sicher. ONU braucht nämlich einige Verrenkungen und Sachkenntnis, z.B. unter Ubuntu überhaupt einen Root-Account einzurichten, mit dem er surfen kann. Ghostrider versucht sowas schon erfolglos seit Wochen.

Geschrieben von dedie am 22.09.2005 um 22:32:

@ MobyDuck

Unter Ubuntu "ja" (wenn man sich so anstellt wie der von dir erwähnte User) aber Ubuntu ist nicht gleich Linux allgemein Augen rollen

Geschrieben von Vimes am 22.09.2005 um 22:33:

@dedie:

Das allgemeine arbeiten und surfen als normaler Benutzer ist unter linux schmerzfrei möglich.
Daß es Typen geben mag, die ums Verrecken auch unter Linux als root arbeiten wollen/müssen, lasse ich mal dahingestellt sein - denen ist aber so oder so nicht mehr zu helfen. Die schrotten ihr System sowieso bei der ersten Gelegenheit, z.B. weil sie dd mal ausprobieren wollen und dann so was hier zaubern:

dd if=/dev/urandom of=/dev/hda (oder sda) [1]

Es gibt noch ca. 1 Million andere Wege, sich als root das System unbenutzbar zu machen, und User, die konsequent als root rumdusseln, werden die auch finden. Um solche Typen mache ich mir daher keine Sorgen, das ist nutzlos.

@Moby: YMMD. fröhlich

Wobei es unter anderen Distributionen einfacher ist, als root unterwegs zu sein. Aber, wie jemand in einem meiner Lieblingsbücher ("Running Linux", 4. Ausgabe) schreibt: root ist ein Zauberstab. Wenn man etwas versaut, während man ihn hält, dann hat das meist wirklich tiefgreifende Folgen. Das obige kleine Beispiel sollte man jedenfalls als root nicht ausprobieren - außer, man hat wirklich viel Zeit oder ein Image im Schrank.

MfG
Vimes

[1] Das schreibt Zufallszahlen auf die Festplatte. Die gesamte. Dabei werden auch alle Partitionen vernichtet. Noch Fragen...? großes Grinsen

Geschrieben von MobyDuck am 22.09.2005 um 22:44:

Zitat:

dd if=/dev/urandom of=/dev/hda (oder sda)

Kenne ich. großes Grinsen

@ dedie
Rein theoretisch hast du natürlich recht. Aber auch bei anderen, für ONU's tauglichen Distries halte ich die Gefahr für gering. Der Witz ist nunmal der Unterschied zu Win: Bei Win ist der Administrator die Regel, unter allen (!) Linux-Distries gerade nicht. Z.B. bei SuSE wird man reichlich mit Warnungen versorgt, wenn man sich mal als Root einloggt. Na gut, wer das nicht liest, installiert sich auch wissentlich unter Win Spysheriff oder sowas.

Geschrieben von dedie am 22.09.2005 um 22:55:

@ Mobyduck

Ich kenne den unterschied zwischen Linuxdistris und Windows in bezug auf die Adminrechte zur genüge, eigentlich dachte ich ja auch nur rein theoretisch aber ich kenne(leider) einige spezies die diese Theorie in die Praxis umsetzen. cool

Geschrieben von MobyDuck am 22.09.2005 um 23:00:

Zitat:

aber ich kenne(leider) einige spezies die diese Theorie in die Praxis umsetzen.

Ich werde jetzt nicht wieder lästern. Aber das stimmt. Aber diese Spezies hat nicht mein Mitgefühl.

Geschrieben von Vimes am 23.09.2005 um 08:42:

Mich würde ja mal interessieren, wie lange diese Spezies bei Linux bleibt.

Gerade, wenn man die Konsole benutzt... z.B. das hier:

rm -rf / home/vimes/muell

SOLLTE eigentlich den Ordner "muell" (nebst Inhalt) in meinem Home-Verzeichnis löschen.

Blöd nur, daß zwischen / und home ein Leerzeichen ist... bei mir würde mir das System sagen, daß ich nicht die nötigen Rechte habe und ich wüßte Bescheid, was passiert ist. Wer obiges als root eintippt, löscht damit / (die root-Partition) und macht damit sein System komplett platt...

Obiger Tippfehler kann einem sehr leicht passieren. Deswegen würde es mich wirklich interessieren, wie lange konsequente root-Arbeiter überhaupt existieren, bis ein Flüchtigkeitsfehler ihnen den garaus macht...

MfG
Vimes