Hallo Christian, Christian Knoke schrieb am Dienstag, den 15.11.2016 um 21:16: > Adrian schrieb am 15. Nov um 20:21 Uhr: > > > > aus persönlichem Interesse, und weils Debian im besonderen betrifft, eine Bugtraq > > > Meldung über cryptsetup: > > > > > > http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html > > > > > > -->-->-- > > > If you use Debian or Ubuntu/ (probably many derived distributions are also > > > vulnerable, but we have not tested), and you have encrypted the system > > > partition, then your systems is vulnerable. > > > https://security-tracker.debian.org/tracker/CVE-2016-4484 > > > > http://lwn.net/Articles/706447/ > > "What you gain is a root access to the initramfs, which you usually can > > access in other ways if you already have physical access to enter a > > passphrase to unlock the encrypted partition." > > Es ist ein Angriffsvektor. Wenn du ein sicheres BIOS/UEFI hast, und wenn > grub passwortgeschützt ist, dann ist der Rootzugriff in der initrd eine > Sicherheitslücke. Das System wird modifiziert, beim nächsten boot die > Passphrase abgegriffen, ét voilà, luks_open(). Das ist im Prinzip richtig: Aber die meisten Leser hier werden LUKS wohl so wie ich hier auf ihrem Laptop einsetzen. Wenn ein Laptop physisch irgendwie aus der Hand gegeben wird, dann können Leute, die in der Lage wären, die oben genannte Sicherheitslücke auszunutzen, auch noch ganz andere Angriffsvektoren nutzen: Das Problem sind dabei die vielen Flash-Speicherchips, die sich heute in einem modernen Notebook-PC befinden. Solange es Sachen wie z.B. die Intel-Management-Engine gibt, sind BIOS-Passwort, UEFI usw. meiner Meinung nach nur genauso ein Sicherheits-Theater, wie die Klarsicht-Beutel für Flüssigkeiten im Handgepäck am Flughafen. Diese Meinung habe ich, seitdem ich auf Youtube eine Präsentation von Joanna Rutkowska auf einem der CCC Kongresse gesehen habe. Wer also nicht gerade politischer Aktivist oder Enthüllungsjournalist ist oder meint, aus irgendeinem anderen Grund von besonderem Interesse für einen der Geheimdienste zu sein, sollte sich wegen CVE-2016-4484 nicht noch mehr Sorgen machen, als wir uns sowieso schon alle machen! ☺ Viele Grüße, Peter Funk
Attachment:
signature.asc
Description: Digital signature