News

Canonical schließt Sicherheitslücke in Ubuntu-Paketverwaltung

(Bild: Sharaf Maksumov / Shutterstock)

Die Ubuntu-Paketverwaltung Snap hat eine Sicherheitslücke beinhaltet, mit der Nutzer sich beispielsweise unerlaubt Administratorrechte verschaffen konnten. 

Die Paketverwaltung Snap, die von den Ubuntu-Machern Canonical entwickelt wird, beinhaltete in vergangenen Versionen eine Sicherheitslücke, über die sich Nutzer unberechtigterweise Administratorrechte verschaffen konnten. Snap lässt sich nicht nur auf Ubuntu nutzen, ist dort aber vorinstalliert.

Snap-Sicherheitslücke: Fix ist in Version 2.37.1 enthalten

Betroffen sind die Versionen 2.28 bis 2.37.0, Version 2.37.1 bringt den Fix mit. Das Update ist bereits für alle Distributionen verfügbar oder steht alternativ als Patch im GitHub-Repository zur Verfügung. Nutzer sollten also dringend die Updates einspielen. Auch wenn man für das Ausnutzen der Lücke bereits Zugriff auf das System haben muss, können andere Nutzer beispielsweise Daten der anderen Anwender auf dem gleichen System auslesen.

Der Fehler steckte in Snapd, dem Hintergrunddienst der Paketverwaltung. Durch einen Fehler in der REST-API, die über einen Unix-Socket mit dem System kommuniziert, konnten Nutzer ihre User-ID durch die des Root-Nutzers austauschen und somit mehr Rechte erlangen. Damit ließe sich beispielsweise ein neuer Nutzer mit Root-Rechten erstellen oder auf die Daten der Nutzer der gleichen Installation zugreifen. Mehr Details dazu erklärt Entdecker Chris Moberly in seinem Blogbeitrag.

Snap soll die Paketverwaltung vereinfachen

Mit Snap will Canonical die Paketverwaltung vereinfachen. Damit lassen sich alle Abhängigkeiten einer App in einem Binary ausliefern, ähnlich wie bei Windows. Genannt werden die Apps dann Snaps. Für Nutzer gibt es einen App-Store, über den sich die Anwendungen installieren lassen, was neben Slack inzwischen auch viele mehr anbieten. Die Kommunikation unter der Haube mit dem System übernimmt der Hintergrunddienst Snapd, der die Lücke beinhaltete.

Passend dazu:

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung