bugs_everywhere_m.jpg

¿Bug o Feature? Esta es la cuestión que se lleva debatiendo en LaunchPad desde hace algo más de año y medio, primero de forma privada y desde hace unas horas ya de forma pública, después de que se reportara que bajo determinadas circunstancias un intruso que accediera a la sesión abierta de un usuario, podría escalar privilegios y hacerse con sudo, sin necesidad de autenticarse como administrador del sistema.

Es un error que afectaría a todos los sistemas Ubuntu existentes desde Ubuntu 12.04 LTS hasta Ubuntu 15.04 (también en OS X) y con diferentes escritorios (Unity, Cinnamon, GNOME, KDE…), el cual se debería a una configuración peculiar en Ubuntu, la cual permite a los usuarios (administradores) cambiar el reloj del sistema, en cualquier momento sin introducir la contraseña de root.

Esta relajación respecto a las políticas de permisos se establece en un archivo del directorio var/lib/polkit.

Y trae como consecuencia que un usuario con malas intenciones podría saltarse la seguridad de sudo, ganando acceso sin necesidad de conocer la contraseña, simplemente lanzando una terminal y accediendo al archivo “/var/log/auth.log”.

cat /var/log/auth.log

Una vez ahí, podría sacar provecho de esa información para ver cuando fue la última vez que se ejecutó SUDO y desde que pseudo-terminal (PTY), para a continuación establecer la hora del sistema y obtener control completo del ordenador ejecutando:

sudo -s

Sin embargo el error no es fácilmente explotable, dado que sería preciso que el intruso accediera de forma local (según Mark Smith, la persona que reportó el bug, en OS X sería posible hacerlo de forma remota) a la sesión de un usuario que hubiera dejado la sesión abierta y sin bloquear su equipo.

Seguramente a nivel de usuario corriente no tenga demasiada importancia, pero podría tenerlo en algunos entornos corporativos en los que prima la seguridad.

Sea como fuere en Reddit hay una interesante discusión al respecto, en la que también participa el desarrollador de Ubuntu encargado del bug, junto al usuario que lo reportó.

En ella se discute sobre si debe primar la seguridad o la facilidad de uso en distribuciones como Ubuntu y nos recuerdan aquella vieja polémica de Linus y la política de seguridad de openSUSE respecto a las impresoras.

En todo caso más que un problema de si un usuario debe o no poder acceder a cambiar la hora del sistema sin poner una contraseña (que vamos, tampoco es tanto trabajo y no es algo que se haga todos los días…), es como configurar eso sin dar lugar a una escalada de privilegios.

Por cierto ninguna versión de Debian ha estado afectada en ningún momento por este bug. De hecho Debian Jessie incluye una versión más moderna (1.8.10p3-1) de sudo que la de Ubuntu, todavía anclada en 1.8.9.5.

Y ya no hablemos de distros rolling release como openSUSE Tumbleweed (1.8.12, aunque ahí somos más de “su”) o Arch Linux (1.8.13)…aunque repito en este caso no parece que el hecho sea imputable a sudo, sino a la configuración de permisos del sistema realizada en Ubuntu.

 

Imagen: Mark Rain (CC BY 2.0)

Fuente: lamiradadelreplicante

¿Quién está en línea?

Hay 10379 invitados y ningún miembro en línea