Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
Peter Funk schrieb am 16. Nov um 11:30 Uhr:
> Christian Knoke schrieb am Dienstag, den 15.11.2016 um 21:16:
> > Adrian schrieb am 15. Nov um 20:21 Uhr:
> >
> > > > aus persönlichem Interesse, und weils Debian im besonderen betrifft, eine Bugtraq
> > > > Meldung über cryptsetup:
> > > >
> > > > http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html
> > > >
> > > > -->-->--
> > > > If you use Debian or Ubuntu/ (probably many derived distributions are also
> > > > vulnerable, but we have not tested), and you have encrypted the system
> > > > partition, then your systems is vulnerable.
> >
> > > https://security-tracker.debian.org/tracker/CVE-2016-4484
> > >
> > > http://lwn.net/Articles/706447/
> > > "What you gain is a root access to the initramfs, which you usually can
> > > access in other ways if you already have physical access to enter a
> > > passphrase to unlock the encrypted partition."
> >
> > Es ist ein Angriffsvektor. Wenn du ein sicheres BIOS/UEFI hast, und wenn
> > grub passwortgeschützt ist, dann ist der Rootzugriff in der initrd eine
> > Sicherheitslücke. Das System wird modifiziert, beim nächsten boot die
> > Passphrase abgegriffen, ét voilà, luks_open().
>
> Das ist im Prinzip richtig: Aber die meisten Leser hier
> werden LUKS wohl so wie ich hier auf ihrem Laptop einsetzen.
zu Hause wird nicht verschlüsselt?
> Wenn ein Laptop physisch irgendwie aus der Hand gegeben
> wird, dann können Leute, die in der Lage wären, die oben
> genannte Sicherheitslücke auszunutzen, auch noch ganz andere
> Angriffsvektoren nutzen:
Klar.
Nur hier reicht es, ein paar Tasten zu drücken und evtl. kurz einen
USB-Stick anzuschließen. Unverschlüsselte Daten können direkt abgesaugt
werden. Die LUKS-Partitionen kann man kopieren und später mit der Passphrase
entschlüsseln. Dazu muss man den Laptop nicht in die Hand nehmen.
Weitere Möglichkeiten gibt es, wenn der user dropbear installiert hat.
> Wer also nicht gerade politischer Aktivist oder
> Enthüllungsjournalist ist oder meint, aus irgendeinem anderen
> Grund von besonderem Interesse für einen der Geheimdienste zu
> sein, sollte sich wegen CVE-2016-4484 nicht noch mehr Sorgen
> machen, als wir uns sowieso schon alle machen! ☺
Ein verbreiteter (?) Irrtum. Alle diese Angriffe können auch von Kriminellen
ausgeführt werden.
Gruß
Christian
--
Christian Knoke * * * http://cknoke.de
* * * * * * * * * Ceterum censeo Microsoft esse dividendum.
Reply to: