[Debian]:Re: (fwd) [BUGTRAQ] vulnerability in Linux Debian default boot configuration

To: debian-user-de@jfl.de
Subject: [Debian]:Re: (fwd) [BUGTRAQ] vulnerability in Linux Debian default boot configuration
From: Roland Rosenfeld <roland@spinnaker.de>
Date: 4 Feb 2000 11:17:43 GMT
Message-id: <87ecgn$qoc$1@luv.rhein.de>
References: <20000203212716.A527@tb.qad.org>

Thomas Bader <thomasb@trash.net> wrote:

> folgendes kam soeben im Bugtraq. Ich denke, viele von euch wissen es
> bereits, aber es gibt sicher viele Leute, die es noch nicht wissen.

> > The recent stable releases (at least 2.0, 2.1 and soon-to-be-released
> > 2.2 -- Hamm, Slink and Potato) of the Debian Linux distributions
> > use a dangerous MBR in their default installation. Maybe this
> > applies to older releases as well but I haven't been able to check
> > these.

> > When the SHIFT key is pressed during the boot, the installed MBR
> > displays the string "1FA:" then waits for a keypress. It then boots
> > a floppy if the F key is pressed, bypassing any security measures.

> PS: Ich finds schrecklich, dass sie das nur zur Wishlist genommen haben,
>     und nicht in die Bugliste.

Wo siehst Du den Bug? Der einzige Fehler liegt darin, daß der User
nicht explizit darauf hingewiesen wird, daß MBR mit dem Feature zur
Auswahl der Boot-Partition/Floppy hingewiesen wird.

Darüber hinaus ist ein Rechner, der physikalisch für Angreifer
erreichbar ist und der von unauthorisiertem Personal rebootet werden
kann, niemals sicher. Bedenke in diesem Zusammenhang auch, daß man bei
vielen BIOSen mit einem Master-Passwort die Einstellungen ändern (und
so von Floppy booten) kann.

Ansonsten sollte ein Admin, der einen Rechner gegen das Booten von
Floppy absichern will, alle Angriffspunkte (Gehäuse, Floppy, BIOS,
MBR, LILO, init,...) kennen und absichern. Wenn er nur einen dieser
Punkte übersieht, hat er ein Problem. Zugegebenermaßen sollte bei der
Installation von MBR deutlicher darauf hingewiesen werden, daß MBR
installiert wird, aber mehr kann man eigentlich nicht tun, daher ist
das halt "wishlist". Auf den neuen Boot-Floppies wird MBR übrigens so
installiert, daß "F" nicht mehr von Floppy bootet.

Tschoeeee

        Roland

-- 
 * roland@spinnaker.de * http://www.spinnaker.de/ *
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     763

Reply to:

Follow-Ups:
- Re: [Debian]:(fwd) [BUGTRAQ] vulnerability in Linux Debian default boot configuration
  - From: Thomas Bader <thomasb@trash.net>

References:
- [Debian]:(fwd) [BUGTRAQ] vulnerability in Linux Debian default boot configuration
  - From: Thomas Bader <thomasb@trash.net>

Prev by Date: Re: [Debian]:ssh, Xsession, afterstep -f ~/.steprc
Next by Date: Re: [Debian]:Sendmailkonfiguration
Previous by thread: Re: [Debian]:(fwd) [BUGTRAQ] vulnerability in Linux Debian default boot configuration
Next by thread: Re: [Debian]:(fwd) [BUGTRAQ] vulnerability in Linux Debian default boot configuration
Index(es):
- Date
- Thread