Un error en el proceso de aislamiento de las sesiones de invitado que provee el gestor LightDM, ha obligado a deshabilitarlas en algunas versiones de Ubuntu (16.10 y 17.04), afectando también a varias de sus derivadas.
Como resultado de dicho fallo de seguridad, un atacante podría acceder a archivos fuera de su directorio de huésped, incluyendo a los del resto de usuarios (excepto root).
Para comprobarlo tan solo era preciso ejecutar este comando en la terminal:
cat /proc/self/attr/current
que producía los siguientes resultados:
- En Ubuntu 16.04 LTS (versión que no está afectada):
/usr/lib/lightdm/lightdm-guest-session (enforce)
- Mientras que en Ubuntu 16.10 (edición que si lo está), la cosa ya cambiaba:
unconfined
Ello se debe a que el perfil de la suite de seguridad AppArmor utilizado para su contención no funciona adecuadamente con LightDM, debido a un problema de compatibilidad con el sistema de inicio systemd (recordemos que en ediciones anteriores usaban upstart).
La anomalía se detectó a principios de febrero y fue tratada de forma confidencial, hasta hace unos días que el equipo de seguridad decidió que la solución más sencilla pasaba por la desactivación de dicha función ( LightDM-guest-sesión), lanzando las actualizaciones de seguridad correspondientes.
Mientras tanto se sigue trabajando en como añadir dicho perfil de AppArmor a systemd, por lo que no se descarta que esta característica pueda volver a ser introducida más adelante.
Seguramente os llame la atención los tres meses que transcurrieron sin que se solucionara este problema. La vulnerabilidad (CVE-2017-8900) estaba clasificada como de tipo “medium”, supongo que debido a que es necesario el acceso físico a la máquina para poderlo explotar y una vez ahí, lo único que nos libra de cualquier tipo de ataque es el cifrado completo del sistema.
Habrá que ver si este bug influye en la decisión de Canonical de mantener a LightDM como gestor de sesiones (les interesa también por el asunto de la personalización que proporciona su sistema de greeters) en futuras ediciones, o por el contrario decantarse por GDM que el es gestor de sesiones predeterminado de GNOME, pero que no incluye dichas sesiones de invitado.
Fuente: OMG!Ubuntu! | lamiradadelreplicante