R3S - Remote Rhein Ruhr Stage

Logrotten - "It's not a bug"

Fireshonks-Stream
Wolfgang Hotwagner
Logrotate, ein Tool zum Verwalten von Logdateien, verfügt über eine Sicherheitslücke, die das Ausweiten der Rechte über eine Race Condition erlaubt. Die Sicherheitlücke – “Logrotten” - kann dann ausgenutzt werden, wenn ein*e unprivilegierte*r Benutzer*in das Logverzeichnis unter Kontrolle hat. In diesem Vortrag wird gezeigt, wie einfach es ist, diese Sicherheitslücke auszunutzen, und es wird gezeigt, welche Auswirkungen und Reichweite diese Sicherheitslücke hat, z.B. auf andere Softwarepakete wie gitlab. Am Ende wird der aktuelle Stand von Logrotate aufgezeigt. Stream-Link: https://streaming.media.ccc.de/jev22/fireshonks
Mit Logrotate können Logfiles verwaltet werden. Es ermöglicht das automatische Rotieren, Komprimieren, Entfernen und Versenden von Logdateien. Jede Logdatei kann dabei täglich, wöchentlich oder monatlich von Logrotate rotiert werden, bzw. wenn sie eine bestimmte Größe erreicht hat. Außerdem bietet Logrotate auch eine Root-Shell. Logrotate unterstützt verschiedene Methoden, um neue Dateien zu erstellen. Die Direktive "copy" beispielsweise erstellt eine Kopie der Logdatei und "create" erzeugt nach dem Rotieren eine neue, leere Logdatei. Wenn jemand das Logverzeichnis mit einem symbolischen Link austauscht, kurz bevor die neue Logdatei erstellt wird, legt Logrotate die neue Datei in einem anderen Verzeichnis ab. Ein solches Szenario kann ausgenutzt werden, wenn Logrotate als Benutzer root läuft und ein*e Benutzer*in mit geringen Privilegien die Kontrolle über den Pfad zum Logverzeichnis hat. Wenn diese*r Benutzer*in zum richtigen Zeitpunkt das Logverzeichnis mit einem symbolischen Link austauscht, schreibt Logrotate die neue Datei in das verlinkte Verzeichnis. Danach werden die Berechtigungen der erstellten Datei angepasst, sodass die angreifende Person Schreibzugriff auf dieser Datei hat. In diesem Vortrag werden die verschiedenen Szenarien erläutert, in denen Logrotate auf gefährliche Weise konfiguriert werden kann. Es wird erläutert, welche Softwarepakete gefunden wurden, die anfällig für diese Art von Angriffen sind. Abschließend wird der aktuelle Stand von Logrotate diskutiert.

Additional information

Live Stream https://streaming.media.ccc.de/jev22/fireshonks
Type Talk 30 min + 10 min Q&A
Language German

More sessions

12/27/22
R3S - Remote Rhein Ruhr Stage
Fireshork
Fireshonks-Stream
Veranstaltungsbeginn mit Einführung Stream-Link: https://streaming.media.ccc.de/jev22/fireshonks
12/27/22
R3S - Remote Rhein Ruhr Stage
merline
Fireshonks-Stream
How do I create files in such a way that they are later understood correctly by the lasercutter? What possibilities and tools are there? Why should I pay attention to the selection of the material to be lasercut when creating the file? What are typical pitfalls, do's & don'ts? In the workshop that will follow this talk, we will put all this into practice using Inkscape. Wie erstelle ich Dateien so, dass sie später auch vom Lasercutter richtig verstanden werden? Welche Möglichkeiten und Tools ...
12/27/22
R3S - Remote Rhein Ruhr Stage
chris
Fireshonks-Stream
Das Fediverse ist mehr als Mastodon und das Imitieren von kommerziellen Plattformen. Hubzilla kennenlernen. Stream-Link: https://streaming.media.ccc.de/jev22/fireshonks
12/27/22
R3S - Remote Rhein Ruhr Stage
Erklärhai
Fireshonks-Stream
Erklärhaj erklärt weitere tolle Experimente live auf der Bühne!
12/27/22
R3S - Remote Rhein Ruhr Stage
Wawuschel
Fireshonks-Stream
Einblick in Leben und Symptome der Borderline-Persönlichkeitsstörung - Talk ergänzt um die Themen Favorite Persons bei Borderline und detaillierte Beschreibung der Diagnosekriterien und Skills Trigger versuche ich zu vermeiden Stream-Link: https://streaming.media.ccc.de/jev22/fireshonks
12/27/22
R3S - Remote Rhein Ruhr Stage
hexchen
Fireshonks-Stream
Wir produzieren ein lustiges Abendprogram im WIR Haus in Wülfrath. Stream-Link: https://streaming.media.ccc.de/jev22/fireshonks
12/28/22
R3S - Remote Rhein Ruhr Stage
Daniel Maslowski
Fireshonks-Stream
Konnten wir sie je verstehen, und begreifen wir Computer heute noch wirklich? Auf Basis jahrelanger Forschung, Studien, Neugier und Erfahrung bietet dieser Vortrag eine Diskussion um die etlichen Aspekte, die Computer zu dem machen, was sie sind: Hardware, Software, Betriebssysteme, Apps, Services, Mensch- und Maschinenschnittstellen, und die vielen Ideen drum herum. Stream-Link: https://streaming.media.ccc.de/jev22/fireshonks