Journal faille de sécurité dans GRUB

Posté par .
Tags : aucun
9
14
déc.
2009
Bonjour,

une petite faille de sécurité ''amusante''
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=555195

GRUB accepts user input as valid password as long as user enters some first
characters of password correctly.
I.e. if /boot/grub/grub.cfg reads:
set superusers="user1"
password user1 password1
Then user can enter "p", "pa", "pas" etc, and GRUB will 'eat it' as correct
password.
Considering that this 'feature' effectively lowers password length to 1 (one),
I've set severity of this bug to 'important'. Feel free to add 'security' tag,
if appropriate.

--> Moi, je le flaggerai bien comme 'important' et comme 'security' tag!
Donc, mettez vous à jour, un caractère comme force d'un mot de passe, c'est tout de même peu :-)
  • # Accès physique à la machine tout ça...

    Posté par (page perso) . Évalué à 9.

    Comme dit dans le titre, tout le monde (ici) sais que le fait d'avoir un accès physique à la machine rend caduque tout un tas de système de "protection".

    Bon c'est un problème de sécurité, sévère je sais pas. Ça dépend sans doute du cas dont on parle. Avez-vous des exemples de situations ou le mot de passe grub est d'une importance critique pour la sécurité du système ? Quid du BIOS et de ses mots de passe maître ?
    • [^] # Re: Accès physique à la machine tout ça...

      Posté par (page perso) . Évalué à 5.

      Si tu as le droit de rebooter la machine et que tu as un clavier/écran relié directement à la machine, mais que tu n'as pas accès physique à la machine, tu peux changer le mot de passe root à condition d'avoir le mdp grub. Le fait que le Bios soit protégé par un mdp n'y change rien.
      • [^] # Re: Accès physique à la machine tout ça...

        Posté par (page perso) . Évalué à 1.

        Tu as un exemple concret en tête ? Parcequ'une borne où tu as accès au clavier mais pas à la tour (genre pour mettre ta clef bootable USB en master dans le BIOS) ET sur laquelle tu as le droit de redémarrer la machine, je vois pas trop le cas d'utilisation.
        • [^] # Re: Accès physique à la machine tout ça...

          Posté par . Évalué à 2.

          Redémarrer ça se fait en soft, n'est ce pas ?
          • [^] # Re: Accès physique à la machine tout ça...

            Posté par (page perso) . Évalué à 2.

            Seulement si tu as les droits adéquates. Si on veut pas que tu puisses bidouiller le démarrage on t'autorise pas à redémarrer la machine, ça me semble la moindre des choses, non ?
            • [^] # Re: Accès physique à la machine tout ça...

              Posté par . Évalué à 2.

              Faut-il encore savoir le faire. OK si déjà on a grub, on sait le faire :-)
              • [^] # Re: Accès physique à la machine tout ça...

                Posté par . Évalué à 0.

                Ha ben évidement, si tout le monde à le compte root, la sécurité de grub, on s'en fout un peu...
                Par contre, le droit de redémarrage à distance, a part en passant par un boitier Perl ou une carte ILO, je vois pas trop comment tu y accède...

                Mais bon, si la machine a un mot de passe Grub, j'imagine que les personnes autorisés à redémarrer sont aussi à même de faire du dégâts sans ça. Ou alors, l'admin est franchement mauvais et ferai mieux de changer de taf, pour le bien de l'informatique : la sécurité, c'est pas pour les bricolos du dimanche(contrairement à ce que veut nous faire croire le gouvernement avec HADOPI...).
                • [^] # Re: Accès physique à la machine tout ça...

                  Posté par . Évalué à 5.

                  "Ha ben évidement, si tout le monde à le compte root, la sécurité de grub, on s'en fout un peu..."
                  Ah le super amalgame entre "être root" et "pouvoir rebooter"...
                  • [^] # Re: Accès physique à la machine tout ça...

                    Posté par . Évalué à 1.

                    Certe, j'exagère, mon propos était plutôt de dire que sur une machine sécurisé, on a une gestion de compte sérieuse, et à mon sens, une machine sécurisé (un serveur, ne parlez pas de poste de travail sécurisé...), le seul à avoir le droit de rebooter c'est root :Linux, c'est pas windows, on va pas rebooter tout les jours.

                    Quand aux postes de travail, faut pas pousser non plus : on industrialise, on met le temps de sélection à 0 secondes, si possible on n'affiche rien (je sait que c'était possible sous LILO, j'imagine que ce doit être faisable sous GRUB) et on verrouille le BIOS. Le cadenas me parait aussi indispensable (j'ai déjà vu des machines de bureau se faire pouiller la RAM...). Mais là encore, si un utilisateur à le droit de rebooter, il y aura une gestion des droits utilisateur d'autant plus rigoureuse.
                    • [^] # Re: Accès physique à la machine tout ça...

                      Posté par . Évalué à 4.

                      le seul à avoir le droit de rebooter c'est root :Linux, c'est pas windows, on va pas rebooter tout les jours.
                      Pas forcément : on peut vouloir qu'un admin puisse rebooter pour une raison X ou Y, mais ne puisse pas avoir accés aux comptes des utilisateurs (par exemple, premier exemple qui me suis passé par la tête).
                      • [^] # Re: Accès physique à la machine tout ça...

                        Posté par . Évalué à 2.

                        Étant admin de serveurs Linux, j'ai choisi de ne pas déléguer ce genre de tâches. Seul root redémarre la machine. Les compte admin permettent de faire du sudo pour installer des applis et d'autres permettent de configurer les appli.

                        Mais tout ce qui touche à la gestion des disques et FS, les redémarrages, les configurations réseaux, les paramétrage système, ça reste pour le root.

                        Quand à l'exploit qui permet de redémarrer la machine couplé à un exploit pour utiliser le bug de grub, il faudrait déjà qu'il te permette de le faire à distance d'une part, d'obtenir une élévation de privilège pour écrire ton deuxième exploit sur le FS. Ce deuxième exploit devant être exécuté avant redémarrage pour modifier GRUB. A quoi ça sert vu que t'as déjà un accès à la machine avec un compte avec privilèges? Obtenir le root n'est plus qu'une affaire de patience, suffit juste de savoir rester discret...

                        Encore une fois, si t'as déjà l'accès physique à la machine, je vois pas pour quoi tu t'embête avec des exploits : BIOS->Boot CD->Boot liveCD-> au revoir Datas...
                    • [^] # Re: Accès physique à la machine tout ça...

                      Posté par . Évalué à 1.

                      Oui, mais un bon exploit est plus fort avec un autre bon exploit.

                      Donc, si je connais un exploit qui fait planter/redemarrer la machine, accoupler à la faille grub, bingo :)
          • [^] # Re: Accès physique à la machine tout ça...

            Posté par . Évalué à 3.

            Redémarrer ça se fait en soft, n'est ce pas ?
            Ou ça se fait en coupant l'alimentation électrique du bâtiment. À moins d'embarquer un onduleur et un système d'alarme dans la boîte qui protège ton UC, tu ne peux pas être certain qu'un utilisateur malveillant ne se retrouvera pas devant ta machine en train de booter, ne serait-ce que par hasard.

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

            • [^] # Re: Accès physique à la machine tout ça...

              Posté par . Évalué à 3.

              En coupant l'alimentation du bâtiment, au mieux, tu peux éteindre une machine. Pour la rallumer, c'est plus dur. (par contre, en coupant l'alimentation un très bref instant, j'ai déjà vu des PC rebooter, donc c'est peut-être jouable...)

              Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

              • [^] # Re: Accès physique à la machine tout ça...

                Posté par (page perso) . Évalué à 2.

                Tout dépend. Beaucoup de PC sont configuré par défaut, pour reprendre l'état dans lequel ils était après une coupure de courant (éteint s'ils étaient éteint, allumé s'ils était allumés). D'ailleurs après une coupure de courant, généralement mon PC est allumé.
            • [^] # Re: Accès physique à la machine tout ça...

              Posté par . Évalué à 4.

              si tu en es là, attaquer la salle serveur avec un commando est aussi une option :P
        • [^] # Re: Accès physique à la machine tout ça...

          Posté par . Évalué à 2.

          Tu as un exemple concret en tête ? Parcequ'une borne où tu as accès au clavier mais pas à la tour (genre pour mettre ta clef bootable USB en master dans le BIOS) ET sur laquelle tu as le droit de redémarrer la machine, je vois pas trop le cas d'utilisation.
          Une carte d'accés à distance qui ne gere pas (désactivé) les périphériques styles cdrom/usb ?
        • [^] # Re: Accès physique à la machine tout ça...

          Posté par (page perso) . Évalué à 2.

          Rebooter ?

          Débrancher et rebrancher la prise de courant lorsque celle-ci est disponible... Alternativement, faire un court circuit sur une prise non loin en espérant que ça soit le même disjoncteur.
  • # En même temps…

    Posté par (page perso) . Évalué à 10.

    Pour ceux qui voudraient considérer cela comme important : n'oubliez pas de désactiver le démarrage sur autre chose que le disque dur, de mettre un mot de passe sur les réglages votre carte mère et de fermer votre boîtier avec un bon verrou. Sinon le mot de passe de GRUB ne sert à rien.
    • [^] # Re: En même temps…

      Posté par (page perso) . Évalué à 2.

      s/verrou/cadenas/ :-)
      • [^] # Re: En même temps…

        Posté par . Évalué à -4.

        De toutes façons le mot de passe du bios sert à rien à part à faire zoli hein, tu peut toujours le faire sauter :)
        • [^] # Re: En même temps…

          Posté par (page perso) . Évalué à 5.

          Oui, en ouvrant le boîtier et en mettant le cavalier qui va bien en position de réinitialisation de la flash. D'où le cadenas.
          • [^] # Re: En même temps…1

            Posté par . Évalué à 1.

            Et c'est là qu'on a inventé les pinces [1] :)

            Après forcément si tu arrives au boulot avec ça pour jouer avec le pc de tes collèges ça sera pas discret, mais y'a toujours un moyen.

            Autant se concentrer sur tes données comme par exemple en les chiffrant nan ? (Note que rien n'empêche de par ex. mettre un petit truc entre ton clavier et ton pc. On supprimerait tout le matériel les PCs seraient beaucoup plus faible :] )

            [1] http://i17.ebayimg.com/08/i/001/20/76/0bfa_35.JPG
          • [^] # Re: En même temps…

            Posté par (page perso) . Évalué à 4.

            ou avec un master password mis en dur dans le BIOS par le fabriquant, et que tout le monde connait
    • [^] # Re: En même temps…

      Posté par (page perso) . Évalué à 6.

      fermer votre boîtier avec un bon verrou

      Coulé dans du béton armé et enterré à 12 mètres de profondeurs ...

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

      • [^] # Re: En même temps…

        Posté par (page perso) . Évalué à 10.

        Tu oublie le champs de mine qui a rendu plusieurs stagiaires infirmes et la milice armée qui ont ordre de tirer à vu sur tout ce qui ressemble de près ou de loin à un commercial ou un DSI.
        • [^] # Re: En même temps…

          Posté par (page perso) . Évalué à 5.

          le champs de mine qui a rendu plusieurs stagiaires infirmes

          Je mets les mines après avoir enterré la machine, je ne laisses pas quelqu'un le faire à ma place, il risquerait de tenter de pirater la machine en creusant le trou (en fait je fais creuser le trou par quelqu'un que j'élimine ensuite (donc il creuse deux trous)) ... On est jamais trop prudent.

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: En même temps…

            Posté par . Évalué à 10.

            "le monde se divise en deux catégories : ceux qui ont un pistolet chargé et ceux qui creusent. Toi, tu creuses."
            • [^] # Re: En même temps…

              Posté par . Évalué à 8.

              ceux qui comprennent le binaire ils sont de quel coté?
              • [^] # Re: En même temps…

                Posté par . Évalué à 4.

                Ils divisent le monde en 10 catégories?

                THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: En même temps…

          Posté par . Évalué à 10.

          la milice armée qui ont ordre de tirer à vu sur tout ce qui ressemble de près ou de loin à un commercial ou un DSI.Inutile, ces gens la ne savent pas ou est la salle informatique !
          • [^] # Re: En même temps…

            Posté par (page perso) . Évalué à 5.

            C'est comme les aides humanitaires dans les zones où les populations en ont besoin : c'est quelque chose de tellement exceptionnel qu'il faut s'en méfier quand ça arrive.
            • [^] # Re: En même temps…

              Posté par . Évalué à 2.

              ça arrive, quand il y a des cameras !!



              ps : Je suis médisant, en plus je n'aide personne (à part moi même(ce que je fais mal en plus)).
  • # pas d'urgence...

    Posté par . Évalué à 5.

    Trouvé dans la version :
    Found in versions grub2/1.97~beta3-1 et , 1.97~beta3-1~bpo50+1

    mais fixé :
    Fixed in versions grub2/1.97+experimental.20091110-1, et grub2/1.97+20091115-1

    bref fixé depuis mi-novembre, on est mi-decembre

    en faisant les mises à jour de mon OS regulierement je suis deja à 1.97-beta4
    (les fichiers datent du 7 decembre, y a surement eu des mises à jours entre le 15 nov et le 7 dec)
    • [^] # >>

      Posté par . Évalué à 2.

      En passant, dans grub2/1.97~beta3-1, il y a beta. Personnellement, ça ne me choque pas qu'il y ait des failles de sécurité dans une beta.

      Je pense que ceux qui ont des problèmes de sécurité à utiliser grub 2 sur des systèmes sensibles n'ont que ce qu'ils méritent.

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: >>

        Posté par (page perso) . Évalué à 2.

        C'est beta parce que grub2 n'a pas encore implémenter la pile réseau et donc ne peut servir de remplaçant complet à grub.
        • [^] # Re: >>

          Posté par (page perso) . Évalué à 6.

          Pourquoi réinventer la roue à chaque fois ?

          Alors qu'il suffit d'utiliser Emacs.
          • [^] # Re: >>

            Posté par (page perso) . Évalué à 2.

            Ça tombe bien, une des nouveautés de GRUB 2, c'est que l'édition d'entrées du menu utilise des raccourcis à la Emacs.
  • # Complément

    Posté par . Évalué à 1.

    Complément d'information:
    Le lien du ticket indique la date du 09 nov 2009 et concerne Debian.

    Plus récemment (08 décembre 2009) on trouve une même faille (ou de même type) sur Ubuntu 9.10. (cf:[http://seclists.org/fulldisclosure/2009/Dec/200])

    Cordialement,
    • [^] # Re: Complément

      Posté par (page perso) . Évalué à 7.

      En fait c'est pas un bug ou une quelconque faille mais une feature développé par Canonical pour facilité l'accès à l'ordinateur.

      Franchement vous ne comprenez rien ... C'est pas avec de tel raisonnement que GNU/Linux va devenir user friendly !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.