Se siete utilizzatori di Devuan Chimera, ossia Debian GNU Linux senza systemd, potreste avere un gigantesco problema di sicurezza

Raoul Scarazzini
12

Abbiamo seguito la storia e l’evoluzione del progetto Devuan sin dagli inizi, infatti la distribuzione derivata da Debian GNU Linux che non ha systemd è stata rilasciata la prima volta poco meno di dieci anni fa, nel 2014.

Il più delle volte abbiamo segnalato nuove release o funzionalità introdotte, ma questa volta occorre segnalare un problema di sicurezza piuttosto grave che riguarda l’ultima versione rilasciata, ossia Chimera, e precisamente in merito al setup della privilege escalation mediante il comando sudo.

Come racconta Linuxiac.com in fase di setup è possibile impostare il sistema affinché non imposti la password per l’utente root ed invece faccia in modo che un utente non privilegiato possa fare escalation, mediante appunto il comando sudo:

La pratica è comune ormai a tutte le distribuzioni sul mercato, ed in questo senso non c’è nulla di strano.

Il problema però è che il setup di Devuan oltre a fare quanto specificato sopra di fatto consente all’utente in questione di diventare l’utente root non solo come ci si aspetterebbe, ossia mediante sudo su -, ma anche usando semplicemente il comando su - per di più senza chiedere alcuna password:

Ora, se il comportamento fosse limitato all’utente in questione potremmo dire che tutto sommato il problema sarebbe non gravissimo (perché comunque con l’utente ci si deve loggare), ma purtroppo non finisce qui, perché come dimostra quest’altra immagine, l’opzione in questione abilita la login dell’utente root in ambiente grafico di nuovo senza chiedere alcuna password:

Cosa che porta la piccola falla a diventare nella sostanza un buco nero galattico.

La versione fallata dell’installer è in circolo da almeno un anno e mezzo e per risolvere il problema la cosa più ovvia e rapida è quella di settare una password per l’utente root.

Come segnala l’articolo gli sviluppatori Devuan sono al corrente e stanno lavorando per risolvere il problema, ma se siete tra quanti stanno usando Devuan in produzione (indicatelo nei commenti) è bene impostare quanto prima una password per il vostro super utente, per evitare super guai.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , , ,

12 risposte a “Se siete utilizzatori di Devuan Chimera, ossia Debian GNU Linux senza systemd, potreste avere un gigantesco problema di sicurezza”

  1. Avatar Andrea
    Andrea

    Ho usato devuan per un anno ma era sempre troppo indietro e sono passato a debian.in ogni caso la falla piu grande sta negl utenti che non mettono la password a root a prescindere da devuan

  2. Avatar Крис
    Крис

    Sono pienamente d’accordo.

  3. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Il fatto di non avere una password di root non è un problema, anzi, potrebbe essere una forma di sicurezza aggiuntiva (nessuno può violare una password che non esiste). Tutto questo se chiaramente il contorno funziona, ed in questo caso c’è decisamente qualcosa che non ha funzionato…

  4. Avatar JaK
    JaK

    Perché, di conseguenza, è disabilitato il login come root, giusto? E sudo logga chi lo ha invocato.

    Correggetemi se sbaglio 🙂

  5. Avatar Raoul Scarazzini
    Raoul Scarazzini

    È così, ed in questo caso la magagna è che l’abilitazione dell’utente all’utilizzo di sudo mediante l’installer in qualche modo consente la login di root senza digitare la password.

  6. Avatar JustATiredMan
    JustATiredMan

    … ecco…. mai una gioia….

  7. Avatar hotrats
    hotrats

    Praticamente lo stesso bug in cui incappò Apple qualche annetto fa 🙂

    https://www.macrumors.com/2017/11/28/macos-high-sierra-bug-admin-access/

  8. Avatar JaK
    JaK

    Per me, invece, è un momento importante per il software libero: Devuan non ha le spalle coperte come altre distro, ma il bug è stato individuato e sta per essere risolto.
    Molti più danni sarebbero stati se non fosse stato reso pubblico.

  9. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Penso che il motivo per cui problema sia venuto fuori solo dopo un anno e mezzo dalla release risieda nelle statistiche di utilizzo di Devuan. Ho provato a cercare, ma non ne ho trovate. Una problematica simile su Ubuntu sarebbe emersa in meno di un minuto.

  10. Avatar JustATiredMan
    JustATiredMan

    Mi chiedo se Debian, da cui Devuan deriva, abbia avuto lo stesso bug, ad un certo punto, che magari è stato risolto prima del rilascio. Potrebbe spiegare l’accaduto.

  11. Avatar carlo coppa
    carlo coppa

    Come hanno fatto a non accorgersi prima è un mistero, perché questo non è un problema da poco…comunque personalmente non ho mai capito come sudo può essere più sicuro di una password di root, è vero…l’utente root non ha alcune restrizioni di sudo, che però a mio modesto parere sono poco rilevanti, tuttavia usare la stessa password di login per sudo è secondo me insicuro, perché è sufficiente un bug nel login manager (cosa non improbabile dal momento che è comunque un software grafico) per riuscire a compromettere la sicurezza di un sistema.

  12. Avatar Matteo Croce
    Matteo Croce

    Interessante, ma sudo su - non si può vedere, c’è sudo -i apposta

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2904) Saturday's Talks (45)

Tag cloud

ai (42) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (66) Google (85) IBM (49) Intel (54) KDE (35) Kernel (218) Kubernetes (88) Linux (672) LinuxFoundation (31) LTS (32) Malware (53) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (45) RHEL (36) SaturdaysTalks (44) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (78) Ubuntu (167) Vulnerabilità (54) Windows (80)