Am 21. Oktober 2024 wurde eine Sicherheitslücke im guix-daemon veröffentlicht, die es einem lokalen Benutzer ermöglicht, die Privilegien eines beliebigen Build-Benutzers zu übernehmen und den Ausgabeprozess von Builds zu manipulieren. Guix ist eine Paketverwaltungssoftware für GNU/Linux Systeme. Dieser Exploit betrifft vor allem Multi-User-Systeme, die dedizierte Benutzer für Build-Dienste verwenden, und erlaubt Angreifern, binäre Dateien mit erhöhten Rechten (setuid/setgid) nach einem fehlgeschlagenen Build zu erstellen. Ein erfolgreicher Angreifer könnte dadurch Systemdateien überschreiben oder kompromittierte Ausgaben erzeugen.
Die Schwachstelle liegt darin, dass guix-daemon fehlgeschlagene Builds ungesichert in das reale Systemverzeichnis verschiebt. Dies geschieht ohne Anpassung von Dateiberechtigungen, was es Angreifern ermöglicht, schädliche Dateien auszuführen. Eine zusätzliche Schwachstelle wurde in erfolgreichen Builds entdeckt, bei denen ebenfalls ein kurzes Zeitfenster existiert, in dem ausführbare Dateien mit setuid/setgid-Berechtigungen ausgeführt werden können, bevor deren Rechte und Eigentümerschaft korrekt gesetzt werden.
Zur Abhilfe wurde ein Fix implementiert, der die Berechtigungen von Dateien in fehlgeschlagenen und erfolgreichen Builds vor dem Verschieben in das System sichert. Benutzer sollten ihre guix-daemon-Versionen umgehend aktualisieren, um sich gegen diese Bedrohung zu schützen. Eine Anleitung zur Aktualisierung sowie ein Test-Skript zur Überprüfung der Verwundbarkeit sind verfügbar.
Für Multi-User-Systeme wird empfohlen, den Zugriff auf den Daemon-Socket auf vertrauenswürdige Benutzer zu beschränken.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: