Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell

To: debian-user-german@lists.debian.org
Subject: Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
From: Christian Knoke <chrisk@cknoke.de>
Date: Wed, 16 Nov 2016 12:55:29 +0100
Message-id: <[🔎] 20161116115529.GA2402@leo.home.cknoke.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20161116103006.GA27104@pfmaster-P170EM>
References: <[🔎] 20161115110858.GA1635@leo.home.cknoke.de> <[🔎] 20161115182130.4t2sanohw2ahrzh6@bunk.spdns.de> <[🔎] 20161115201600.GA1334@leo.home.cknoke.de> <[🔎] 20161116103006.GA27104@pfmaster-P170EM>

Peter Funk schrieb am 16. Nov um 11:30 Uhr:
> Christian Knoke schrieb am Dienstag, den 15.11.2016 um 21:16:
> > Adrian schrieb am 15. Nov um 20:21 Uhr:
> > 
> > > > aus persönlichem Interesse, und weils Debian im besonderen betrifft, eine Bugtraq
> > > > Meldung über cryptsetup:
> > > > 
> > > > http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html
> > > > 
> > > > -->-->--
> > > > If you use Debian or Ubuntu/ (probably many derived distributions are also
> > > > vulnerable, but we have not tested), and you have encrypted the system   
> > > > partition, then your systems is vulnerable.
> > 
> > > https://security-tracker.debian.org/tracker/CVE-2016-4484
> > > 
> > > http://lwn.net/Articles/706447/
> > > "What you gain is a root access to the initramfs, which you usually can 
> > >  access in other ways if you already have physical access to enter a 
> > >  passphrase to unlock the encrypted partition."
> > 
> > Es ist ein Angriffsvektor. Wenn du ein sicheres BIOS/UEFI hast, und wenn
> > grub passwortgeschützt ist, dann ist der Rootzugriff in der initrd eine
> > Sicherheitslücke. Das System wird modifiziert, beim nächsten boot die
> > Passphrase abgegriffen, ét voilà, luks_open().
> 
> Das ist im Prinzip richtig:  Aber die meisten Leser hier
> werden LUKS wohl so wie ich hier auf ihrem Laptop einsetzen.

zu Hause wird nicht verschlüsselt?

> Wenn ein Laptop physisch irgendwie aus der Hand gegeben
> wird, dann können Leute, die in der Lage wären, die oben
> genannte Sicherheitslücke auszunutzen, auch noch ganz andere
> Angriffsvektoren nutzen:

Klar.

Nur hier reicht es, ein paar Tasten zu drücken und evtl. kurz einen
USB-Stick anzuschließen. Unverschlüsselte Daten können direkt abgesaugt
werden. Die LUKS-Partitionen kann man kopieren und später mit der Passphrase
entschlüsseln. Dazu muss man den Laptop nicht in die Hand nehmen.

Weitere Möglichkeiten gibt es, wenn der user dropbear installiert hat.

> Wer also nicht gerade politischer Aktivist oder
> Enthüllungsjournalist ist oder meint, aus irgendeinem anderen
> Grund von besonderem Interesse für einen der Geheimdienste zu
> sein, sollte sich wegen CVE-2016-4484 nicht noch mehr Sorgen
> machen, als wir uns sowieso schon alle machen! ☺

Ein verbreiteter (?) Irrtum. Alle diese Angriffe können auch von Kriminellen
ausgeführt werden.

Gruß
Christian

-- 
Christian Knoke            * * *            http://cknoke.de
* * * * * * * * *  Ceterum censeo Microsoft esse dividendum.

Reply to:

References:
- Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
  - From: Christian Knoke <chrisk@cknoke.de>
- Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
  - From: Adrian Bunk <bunk@stusta.de>
- Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
  - From: Christian Knoke <chrisk@cknoke.de>
- Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
  - From: Peter Funk <pf@artcom-gmbh.de>

Prev by Date: Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
Next by Date: Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
Previous by thread: Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
Next by thread: Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
Index(es):
- Date
- Thread