Een van onze developers heeft een proof of concept van een vulnerability in Debian 6 / Ubuntu 10.04 geleverd. Deze developer heeft gisteren als eerste bewezen dat deze vulnerability gebruikt zou kunnen worden om in bepaalde situaties SSH keys uit te lezen. Naar aanleiding hiervan heeft Ubuntu al een nieuwe update uitgebracht.

De security-issue betreft pam_env.so (een module om extra variabelen aan een omgeving mee te geven) waardoor een aanvaller die al een ssh-account heeft, met behulp van een symlink in sommige gevallen files van root of van andere users uit kan lezen.

Een symlink is een UNIX object dat zich gedraagt als een bestand, maar eigenlijk een verwijzing is naar een ander bestand. Als u in uw eigen homedir zo’n verwijzing maakt naar een file in *andermans* homedir en deze .pam_environment noemt, zal pam_env die met root-rechten opzoeken en dus voor u uitlezen.

Als die symlink wijst naar een private DSA key zonder passphrase-bescherming zou genoeg data gelezen kunnen worden om de prive key te kunnen hercreeeren.

Specifiek de combinatie van Debian of Ubuntu met DirectAdmin is daarbij kwetsbaar omdat /usr/local/directadmin/conf/mysql.conf (met daarin de DirectAdmin MySQL username+password) uit te lezen is. Deze combinatie komt gelukkig bijna niet voor binnen ons netwerk.

Oplossingen

De workaround voor zowel Debian en Ubuntu is: ‘user_readenv=0′ toevoegen aan *elke* pam_env regel in /etc/pam.d/*.

Ubuntu en Debian wisten van de issue met pam_env maar niet dat SSH keys gehercreeerd konden worden. Naar aanleiding van de analyse van onze developer heeft Ubuntu vandaag een update uitgebracht. De workaround is daar dus niet nodig. Wij hopen dat Debian snel zal volgen. CentOS had dit probleem vorig jaar al de nek omgedraaid.

Deze updates zouden automatisch op uw VPS doorgevoerd moeten worden. Wij raden u altijd aan om dit even te controleren, zeker voor oudere virtual servers. Alle service level 2 klanten en klanten met DirectAdmin en Debian zullen wij handmatig controleren.