- research:advisories:2009-1und1-kernel
1und1 :: Rootserver - ungepatchter Installationskernel in der Suse-11 - Standardinstallation
- Stand: 2009-11-27
=============================================
1und1 :: Rootserver -
ungepatchter Installationskernel in
der Suse-11 - Standardinstallation
=============================================
Hersteller: 1&1 Internet AG http://www.1und1.de
Status: ungepatcht
Dank an: supportkontakt@1und1
dab@heisec
m.meissner@opensuse
Entdeckt: Markus Manzke / www.mare-system.de
Herstellerreaktion: Mitarbeit bei der Problemfindung, keine
Reaktion auf den Vorschlag für eine interne Lösung
Betroffene Produkte:
- 1und1 Rootserver mit Suse 11 (geprüpft)
- zu prüfen: 1und1 - VServer+ManagedServer mit Suse11 / Suse 10 - Installationen
Nichtbetroffene Produkte:
- aktuelle 1und1 Rootserver mit Debian/CentOS, dort wird (nach Aussage 1und1) der Distributionskernel verwendet, der mit Updates versorgt wird
I. Hintergrund
Bei der Überprüfung aktueller Kernelversionen[3] anfang November 2009 fiel bei 1und1 - Rootservern mit installierter Suse 11 ein Kernel auf, der nicht der Suse-Namensgebung entsprach
[ root@srv :~] > cat /etc/SuSE-release openSUSE 11.0 [ root@srv :~] > cat /proc/sys/vm/mmap_min_addr 0 [ root@srv :~] > uname -r 2.6.27.21rootserver-20090324a
OpenSuse versicherte auf Nachfrage, das dies kein Standardkernel sei. Eine Nachfrage bei 1und1 ergab, das speziell für OpenSuse-11 ein eigener Kernel installiert wurde. Begründet wird diese Maßnahme mit fehlender Hardwareunterstützung des Standardkernels (s.u.)
II. Beschreibung der Sicherheitslücke
Für den Installtionskernel (Build-Datum 24.03.2009) werden von 1und1 keine Updates eingepflegt, die via Yast-Update/Autoupdate-Funktionen installiert werden. Kernelupdates erfolgen nur, wenn die Betreiber der Rootserver manuell entweder neue Kernelimages von update.onlinehome-server.info herunterladen und via Yast installieren, eigene Kernel kompilieren oder den Suse-Defaultkernel installieren.
In der Rootserver-Dokumentation wird nicht explizit darauf hingewiesen[1], auch unter[2] “Wie kann ich meinen Server aktuell halten und neue Software installieren” finden sich keine Hinweise darauf, das nicht der Suse-Defaultkernel installiert wird. Serverbetreiber werden bei standardmäßig eingeschaltetem Yast-Autoupdate in dem Glauben gelassen, ein vollständig gepatchtes System zu haben. Der Hinweis, das die verwendeten Kernel keinen Updates unterliegen, findet sich explizit nirgendwo. In der Dokumentation[4] “Wie kann ich einen eigenen Kernel auf dem Root-Server installieren?” wird lediglich darauf hingewiesen, das ein von 1und1 selbsersteller Kernel verwendet wird.
Aussage von 1und1:
Das Angebot von 1&1 Rootservern richtet sich an versierte Systemadministratoren, die ein System auch in Bezug auf Kernelupdates verwalten können. Die Administration, Konfiguration und Sicherheit eines Root-Servers liegt nach Auslieferung ausschliesslich in der Verantwortung des Kunden, dies schliesst auch den Kernel und Kernelpatches ein. Es liegt am Systemadministrator zu prüfen, welcher Kernel installiert ist, ob nach automatischen Updates (bspw. über Yast) entsprechende Patches installiert wurden und dies ggf. manuell zu korrigieren. 1&1 setzt in der Regel Vanilla-Kernel ein, da für manche Distributionen der Distributionskernel wegen fehlender Hardwareunterstützung nicht angeboten werden kann.
Die von 1und1 bereitgestellten neueren Kernelimages sind vom September, d.h. die im Oktober/November aufgetretenen Lücken sind noch nicht gefixt, dazugehörrende Exploits (enlightenment z.B.) bleiben ausführbar.
III. Auswirkungen
Aufgrund der Vielzahl von Root-Exploits für Linux [5] sind Server und Systeme, die öffentlich erreichbar sind, besonders gefährdet und deswegen ständig mit Sicherheitsupdates zu versorgen.
Eine große Anzahl an von 1und1 -Rootserver-Betreibern wird auf die Autoupdate-Funktionen von Suse vertrauen und deswegen wahrscheinlich einen veralteten Kernel nutzen, mit allen aktuellen Kernelbugs und Sicherheitsproblemen, für die häufig ein Root-Exploit vorliegt[5].
Damit wird jede potentielle Sicherheitslücke, egal ob in einer Webapplikation, einem Serverdienst oder lokalen Programmen, die das Ausführen von Code ermöglicht, zu einer Lücke, die zu Rootrechten führen kann[6].
IV. mögliche Lösungen
Bekannt und getestet: keine
vom Hersteller bekanntgegeben: keine
Es ist Aufgabe des Herstellers, Lösungen für dieses Problem zur Verfügung zu stellen
inoffizielle Workarounds
- unter folgendem Link gibt es eine Liste mit inoffiziellen, sprich nicht von 1und1 veröffentlichen Workarounds
V. Links und Referenzen
- [1] 1und1-Dokumentation
- [3] überprüft wurde im Rahmen einer Recherche zu Linux-Kernel-Null-Pointer-Bugs der mmap_min_addr - Defaultwert, der nach Suse-11-Updates bei 4096 liegen sollte, auf dem betroffenen System aber 0 war
- [5] eine kurze Auswahl aktueller Rootexploits für den Linux-Kernel
- …
[6] http://dogtown.mare-system.de/doku.php?id=research:exploit_a_webserver_through_php
IV. Verlauf der Bekanntgabe
YYYY.MM.D
- 2009.11.11 - Identifizieren des Nicht-Standard-Kernels bei einem 1und1-Rootserver
- 2009.11.12 - erster Versuch der Kontaktaufnahme
- 2009.11.18 - erster Kontakt zu 1und1, Infos über den 1und1-eigenen Kernel
- 2009.11.19 - 1und1 bestätigt, das die nichte gpatchten Kernel ein Sicherheitsproblem darstellen können
- 2009.11.19 - Nachfrage nach geplanten Maßnahmen
- 2009.11.23 - keine Reaktion auf die Nachfrage nach geplanten Maßnahmen
- 2009.11.24 - Veröffentlichen des Advisories
- 2009.11.26 - Heise veröffentlich die Nachricht
- 2009.11.27 - erste inoffizielle Workarounds sind verfügbar
Anhang / Screenshots
1und1 - Rootserver - ausgewählter Kernel der Installation durch den Hoster
1und1 - Rootserver - Yast-Updates
1und1 - Rootserver - ls -l /boot
OpenSuse - Defaultkernel
1und1 - Kernelimages @ Updateserver
