Software::Security
Dan Walsh kommentiert SELinux Apache Security Studie von ptresearch
Nachdem die Penetrationstest-Spezialisten »ptresearch.blogspot.de« um Kirill Ermakov gestern eine Studie veröffentlicht hatten, nach der ein Apache Webserver trotz SELinux verwundbar sei, stellt Red-Hat-Entwickler die Zusammenhänge ins richtige Licht.
Als Reaktion auf die letzten Artikel zum Thema SELinux wurde »ptresearch.blogspot.de« nach eigenen Angaben mehrfach mit dem Wunsch kontaktiert, SELinux in praktischen Einsatz zu testen. Die Ergebnisse dieser Studie fasst Kirill Ermakov in besagtem Blog-Eintrag zusammen.
Im Test-Szenario untersuchte ptresearch drei Rechner mit CentOS 5.8 in einer Standardkonfiguration von Webanwendungen, die sich ausschließlich im verwendeten SELinux Policy-Set unterschieden, nämlich einmal ungeschützt mit deaktiviertem SELinux, SELinux mit Standardkonfiguration und schließlich mit strikten auf dem Whitelist-Prinzip basierenden SELinux-Richtlinien. Für den Penetrationstest selbst setzen Ermakov und seine Kollegen verschiedene Angriffstechnologien ein. Über den weiteren Verlauf der Studie sei auf deren Detailinhalt verwiesen. Auf jeden Fall fanden Kirill Ermakov und sein Team Angriffssignaturen, die Schwachstellen in Apache auszunutzen mit dem Resultat, dass ein potenzieller Angreifer zum Beispiel auf einem mit SELinux geschützten Web-Server lesend auf die Datei /etc/passwd hätte zugreifen können.
Durch die Studie von Ermakov sah sich Red Hat-Entwickler Daniel Walsh offenbar zu einer umfassenden Erläuterung der Funktionsweise von SELinux in seinem Blog veranlasst. Walsh arbeitet sei mehr als 25 Jahren als IT-Sicherheitsexperte, unter anderem für Digital Equipment Corporation am Athena Project oder bei hackershield.net und ist seit 2001 für Red Hat tätig. Walsh ist federführend an der SELinux-Entwicklung beteiligt.
Walsh schreibt zur Lesbarkeit von /etc/passed auf einem SELinux-geschützen Webserver: »Dieser Punkt macht deutlich, was die meisten Anwender und Entwickler am Konzept von SELinux bis heute nicht richtig verstehen. SELinux verhindert nicht notwendigerweise Fehler in Applikationen. Wenn ein ein Angreifer einen Weg findet, die Applikation Apache zu untergraben, gelangt er auch in den Besitz des Rechte-Kontextes von Apache«.
Das Beispiel zeige nur, dass Kirill Ermakov einen Weg gefunden habe, den Webserver aufgrund der Ausnutzung einer Schwachstelle in Apache erfolgreich zu übernehmen und zu tun, was ein Webserver eben tut, inklusive Lesen der Datei /etc/passwd. Walsh zählt im weiteren Verlauf des Beitrages eine Reihe von Dingen auf, die man hätte testen können, bzw. an denen man hätte demonstrieren können, wie die SELinux-Regeln arbeiten, etwa das Blockieren einer Verbindung zum Mail-Port oder das Verhindern eines Lesezugriffs auf Nutzer-Dateien. Ferner zeigt er einige andere Wege auf, wie Administratoren die Verwundbarkeit von Apache mit Hilfe von SELinux im »Sinne des Erfinders« verringern können.
