Login
Newsletter
Werbung

Di, 3. Mai 2016, 09:47

Software::Distributionen::Canonical

Canonical schließt Lücke im Snap-Paketformat

Snaps sind das neue Paketformat, das neben herkömmlichen DEB-Paketen in Ubuntu koexistieren kann. Jetzt wurde eine Sicherheitslücke geschlossen, die das Ausführen von Schadcode ermöglichte.

Canonical verfolgt einen rigiden Veröffentlichungszyklus. Der Tag, an dem eine neue Version veröffentlicht wird, steht bereits sechs Monate vorher fest und ist verbindlich. Dass das nicht nur Vorteile hat, zeigt die Einführung des neuen Paketformats Snap. Zum einen ist es, wie Matthew Garrett darlegte, mit der versprochenen Isolation einzelner Snaps nicht weit her, solange ein herkömmlicher X-Server darunter läuft. Nun wurde eine Sicherheitslücke geschlossen, die darauf hindeutet, dass bei der Einführung der Snaps in die Desktop-Version der Distribution mit heißer Nadel gestrickt wurde.

Wie Canonical in der Security Notice USN-2956-1 mitteilt, gab es in der veröffentlichten Version von Ubuntu 16.04 LTS eine Sicherheitslücke im Ubuntu-Core-Launcher, der für das Starten der Snaps zuständig ist. Die in der CVE-Liste als CVE-2016-1580 bezeichnete Verwundbarkeit führte dazu, dass Snaps untereinander ungenügend isoliert waren. Somit konnte Schadcode mit den Rechten anderer Snaps ausgeführt werden. Dazu musste der Anwender allerdings ein präpariertes Snap des Angreifers installieren. Über den präparierten Namen des Snaps konnte der Ubuntu-Core-Launcher beim Mounten zu einem Fehler verleitet werden, der das Ausführen beliebigen Codes oder das Entwenden von Informationen aus anderen Snaps erlaubet.

Der Fehler betraf die Desktop- und Server-Ausgabe von Ubuntu 16.04 LTS, nicht jedoch Ubuntu-Core, wo Snaps schon länger verwendet werden. Die Lücke ist mit der Veröffentlichung von Ubuntu-Core-Launcher 1.0.27.1 mittlerweile behoben. Das Update kann über die Aktualisierung des Pakets direkt oder über ein Systemupdate eingespielt werden.

Wie das Computer-Magazin »ct« berichtete, sind auch in LTS-Versionen von Ubuntu ungepatchte Sicherheitslücken zu finden. Das Magazin weist zudem darauf hin, dass Anwender sich darüber im Klaren sein sollten, dass sich die Langzeitunterstützung lediglich auf das Main-Repositorium der Distribution bezieht. Im Fall der Einführung von Snaps wäre es vermutlich besser gewesen, zu warten, bis der Display-Server Mir als Standard implementiert ist. Das hätte auch mehr Zeit zum Code-Review gelassen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung