Gefährliche Lücke in ZFS

[Yamagi]

Im Moment läuft es in Sachen Lücken irgendwie nicht gut. Heute gab es eine Reihe Pacthes, darunter drei Lücken und eine ganze Reihe Errata-Bugfixes in FreeBSD 8.0. Zwei der Lücken sind weitgehend harmlos und betreffen mit ntpd(8) und BIND zwei Anwendungen von Drittanbietern. Die dritte Lücke hat es jedoch in sich. Sie kann unter Umständen dazu führen, dass ZFS nach einem Absturz beim Zurückspielen der ZIL Fehler macht. Diese führen zu keinem Datenverlust, können aber dazu führen, dass beliebige Dateien plötzlich die Berechtigungen 0777 bekommen. Also global veränderbar und ausführbar werden. ZFS-Nutzer sollten daher ihr System so schnell es geht mit freebsd-update(8) aktualisieren oder einen neuen Kernel aus aktuellen Sourcen bauen. Anschließend können betroffenen Dateien mit

find / -perm -7777 -print0 | xargs -0 ls -ld

gefunden werden. Die Berechtigungen können dann per mtree(8) korrigiert werden, sofern eine entsprechende Datenbank erstellt wurde. Ist dies nicht der Fall, ist eine manuelle Korrektur notwendig.

Hier noch einmal die SA: http://security.freebsd.org/advisories/FreeBSD-SA-10:03.zfs.asc

 

[kai_001]

Hmm,

hattest Du nicht genau diesen Bug letztens irgendwo erwähnt *grübel*?

Grüße
Kai

 

[Yamagi]

Ja, hatte ich. Er ist schon vor Wochen gepatcht worden, man hat sich aber anscheinen erst jetzt dazu entschlossen, es offiziell zur Lücke zu erklären. Warum erst so spät, weiß ich leider nicht.

 

[k_e_x]

Ich schwanke ständig zwischen OpenBSD und FreeBSD und kann mich nie so recht entscheiden was ich besser finden soll ...

Vielen Dank für die Warnung! *Wenn FreeBSD System hätte, definitiv nun ein Update machen würde*

 

[Yamagi]

Ich würde sagen, dass man OpenBSD und FreeBSD in Sachen Sicherheit nicht direkt miteinander vergleichen kann. OpenBSD mag weniger gefährliche Lücken in seiner Standardinstallation haben und wahrscheinlich auch sonst. Aber das liegt nicht nur am Entwicklungsmodell und ständigen Audits. Diese spielen sicher schon damit rein, aber ein ganz wesentlicher Faktor dürfte auch die extrem konservative Entwicklung sein. So lässt sich OpenBSD mit dem Einfügen neuer Features sehr viel Zeit, viele hochkomplexe Dinge wie SMPng oder eben auch ZFS geht man erst gar nicht an. Damit vermeidet man schon mal einen riesigen Berg potentieller Fehlerquellen. Oder anders gesagt, man muss sich bis zu einem gewissen Punkt entscheiden, ob man neue(ste) Funktionalität möchte oder eben ein höhere Sicherheit. Das ganze geht nach oben auch noch viel weiter. Linux bietet wieder deutlich mehr ständige Neuerungen als FreeBSD, hat dafür aber auch gleich noch viel mehr Sicherheitsproblem. Von Windows reden wir hier erst gar nicht, obwohl es da zugegeben schon merklich besser geworden ist...