News

Canonical schließt Sicherheitslücke in Ubuntu-Paketverwaltung

(Bild: Sharaf Maksumov / Shutterstock)

Die Ubuntu-Paketverwaltung Snap hat eine Sicherheitslücke beinhaltet, mit der Nutzer sich beispielsweise unerlaubt Administratorrechte verschaffen konnten. 

Die Paketverwaltung Snap, die von den Ubuntu-Machern Canonical entwickelt wird, beinhaltete in vergangenen Versionen eine Sicherheitslücke, über die sich Nutzer unberechtigterweise Administratorrechte verschaffen konnten. Snap lässt sich nicht nur auf Ubuntu nutzen, ist dort aber vorinstalliert.

Snap-Sicherheitslücke: Fix ist in Version 2.37.1 enthalten

Betroffen sind die Versionen 2.28 bis 2.37.0, Version 2.37.1 bringt den Fix mit. Das Update ist bereits für alle Distributionen verfügbar oder steht alternativ als Patch im GitHub-Repository zur Verfügung. Nutzer sollten also dringend die Updates einspielen. Auch wenn man für das Ausnutzen der Lücke bereits Zugriff auf das System haben muss, können andere Nutzer beispielsweise Daten der anderen Anwender auf dem gleichen System auslesen.

Der Fehler steckte in Snapd, dem Hintergrunddienst der Paketverwaltung. Durch einen Fehler in der REST-API, die über einen Unix-Socket mit dem System kommuniziert, konnten Nutzer ihre User-ID durch die des Root-Nutzers austauschen und somit mehr Rechte erlangen. Damit ließe sich beispielsweise ein neuer Nutzer mit Root-Rechten erstellen oder auf die Daten der Nutzer der gleichen Installation zugreifen. Mehr Details dazu erklärt Entdecker Chris Moberly in seinem Blogbeitrag.

Snap soll die Paketverwaltung vereinfachen

Mit Snap will Canonical die Paketverwaltung vereinfachen. Damit lassen sich alle Abhängigkeiten einer App in einem Binary ausliefern, ähnlich wie bei Windows. Genannt werden die Apps dann Snaps. Für Nutzer gibt es einen App-Store, über den sich die Anwendungen installieren lassen, was neben Slack inzwischen auch viele mehr anbieten. Die Kommunikation unter der Haube mit dem System übernimmt der Hintergrunddienst Snapd, der die Lücke beinhaltete.

Passend dazu:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.