Anzeige:
Ergebnis 1 bis 13 von 13

Thema: Linux auf Sicherheiitslücken testen

  1. #1
    Registrierter Benutzer
    Registriert seit
    Feb 2017
    Beiträge
    9

    Linux auf Sicherheiitslücken testen

    Hallo,

    ab und zu lese ich von bekannten Sicherheitslücken unter Linux (z.B. hier) und würde dann gerne testen, ob diese auf meinen Systemen bestehen oder schon gepatcht sind.

    Gibt es ein Tool/Programm, mit dem man unterschiedliche Linux-Distributionen auf Probleme testen kann?

    Konkret:
    Ich benutze derzeit Mint Xfce in einer VM und Debian 7 mit Openmediavault auf einem BananaPi als NAS.
    Wie kann ich testen, ob o.g. Sicherheitslücke in den Systemen vorliegt, oder nicht? Wie könnte ich herausfinden, welche Version von systemd auf den Systemen läuft?

  2. #2
    kleine schwester von root Avatar von corresponder
    Registriert seit
    May 2002
    Ort
    192.67.198.56
    Beiträge
    3.819
    hi,
    oftmals gibt es anleitungen, wie du überprüfen kannst, ob dein system "sicher" ist.
    das ist von der jeweiligen lücke abhängig, da es welche gibt, wo der angreifer direkten zugriff auf das system nutzt oder
    mehrere bugs von der ferne aus dazu führen ein system zu komprimitieren.

    die frage ist, wie hängen deine geräte am internet, wenn sie daran hängen,
    was erlaubst du an kommunikation (raus/rein) - etc. pp.

    wichtig ist vor allem, dein system immer auf dem aktuellen stand zu halten.
    per apt-get upgrade, z.b.

    gruss

    c.
    _______________________________________

    www.audio4linux.de - musik machen mit offenen quellen!

  3. #3
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.047
    Es gibt Tools wie z. B. OpenVAS oder Nessus, aber auch teils Nmap (NSE - Script Engine) kann das. Stichwort Vulnerability-Scanner und dann danach googeln.

    Die Ergebnisse dieser Tools sind aber nie 100%ig.

    Zusätzlich bekommt so gut wie jede Lücke eine Art ID. In deinem Beispiel CVE-2017-9445 und im Artikel wird auch entsprechend verlinkt:
    https://cve.mitre.org/cgi-bin/cvenam...=CVE-2017-9445

    Dort findest du allgemeine Informationen zur Lücke und weiterführende Informationen.
    Eigentlich immer die Links zu den Entdeckern mit der technischen Beschreibung und meistens auch noch nen Link zu z. B. securityfocus.com o. ä.

    http://www.securityfocus.com/bid/99302/info

    Dort findest du gleich unter "Info" die betroffenen Versionen

    Code:
    systemd systemd 233
    systemd systemd 229
    systemd systemd 228
    systemd systemd 214
    systemd systemd 213
    systemd systemd 209
    systemd systemd 208
    systemd systemd 207
    Dann machst du je nach System ne überprüfung ob du entsprechende Version installiert hast und kannst das dann bei deiner Distribution oder über deinen Package-Manager und den Relase-Notes abgleichen ob die CVE-xy mit dem Update gestopft wurde.

    rpm -qa | grep systemd
    systemd-231-17.fc25.x86_64
    Für dieses Paket findest du bei Fedora z. B. die Info

    A fix for an out-of-bounds write in systemd-resolved after a crafted DNS packet (CVE-2017-9445).

    No need to reboot or log out.
    https://bodhi.fedoraproject.org/upda...017-72f0c1ea9c

    Also die entsprechende CVE wurde hier gestopft.

    Das darfst du theoretisch mit jedem betroffenen Paket machen.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  4. #4
    Registrierter Benutzer
    Registriert seit
    Feb 2017
    Beiträge
    9
    Erstmal vielen Dank für die ausführlichen Antworten.
    Wenn ich das richtig sehe, dann ist eine Überprüfung nicht "mal eben" erledigt und erfordert zumindest ein paar Kenntnisse des Betriebssystems.

    Ich habe es gerade mit "rpm -qa | grep systemd" unter Mint Xfce und Debian 7 probiert, erhalte aber nur Fehlermeldungen.

    Debian7:
    Code:
    -bash: rpm: Kommando nicht gefunden.
    root@BaPi:~#
    Mint:
    Code:
    tester-VBox ~ $ rpm -qa | grep systemd
    Die Anwendung »rpm« ist momentan nicht installiert. Sie können sie durch folgende Eingabe installieren:
    sudo apt install rpm

    Eine kurze Internetrecherche ergibt, dass rpm parallel zu dpkg nicht empfohlen wird. Besonders auf dem BananaPi (NAS) würde ich gerne möglichst wenig Kram installieren. Könnt ihr mir einen Tipp geben, wie ich die Versionsnummer von systemd mit Standardmitteln herausbekomme?


    @corresponder
    Ich habe beide Systeme bzgl. der Internetzugriffsberechtigungen nicht besonders konfiguriert. Nachdem ich den lokalen Proxyserver bekanntgegeben hatte, konnten beide auf das Internet zugreifen. Beim NAS habe ich noch SSH und Samba freigegeben. Ob ein Zugriff aus dem Internet auf die Geräte möglich wäre, weiß ich leider nicht. Mir fehlt die Zeit mich damit mal intensiver zu beschäftigen.
    apt-get update, apt-get upgrade und apt-get dist-upgrade lasse ich eigentlich immer durchlaufen, wenn ich auf ein System zugreife, also mind. einmal pro Woche. Allerdings habe ich kein Gefühl dafür, wie gut der Support für Debian7, speziell für Openmediavault ist, weshalb ich zumindest in der Anfangszeit bei bekannten Lücken gerne nachsehen würde, ob, und wie schnell die Lücken dort geschlossen werden.




    EDIT:
    Ich bin auf "journalctl" gestoßen und habe in Mint18 folgende Ausgabe erhalten:

    Code:
     fcetester-VBox xfcetester # journalctl | grep systemd
    Jul 02 14:57:57 xfcetester-VBox systemd-journald[272]: Runtime journal (/run/log/journal/) is 632.0K, max 4.9M, 4.3M free.
    Jul 02 14:57:57 xfcetester-VBox kernel: random: systemd-udevd: uninitialized urandom read (16 bytes read, 2 bits of entropy available)
    Jul 02 14:57:57 xfcetester-VBox kernel: random: systemd-udevd: uninitialized urandom read (16 bytes read, 2 bits of entropy available)
    Jul 02 14:57:57 xfcetester-VBox kernel: random: systemd-udevd: uninitialized urandom read (16 bytes read, 2 bits of entropy available)
    Jul 02 14:57:57 xfcetester-VBox systemd[1]: systemd 229 running in system mode. (+PAM +AUDIT +SELINUX +IMA +APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ -LZ4 +SECCOMP +BLKID +ELFUTILS +KMOD -IDN)
    ...
    Sehe ich das richtig, dass hier die Version 229 von systemd läuft und mein Linux damit noch von der aktuellen Lücke betroffen ist?


    Auf dem NAS mit Debian 7 funktioniert journalctl nicht. Dafür MUSS es doch eine gängige Alternative geben.
    Geändert von MarkT (02.07.17 um 15:30 Uhr)

  5. #5
    Registrierter Benutzer
    Registriert seit
    Apr 2011
    Ort
    Bergheim
    Beiträge
    101
    Mint bzw. Debian (auch Ubuntu) benutzt als Paketverwaltungstool das Advanced Packaging Tool (APT), siehe auch https://de.wikipedia.org/wiki/Advanced_Packaging_Tool. Fedora benutzt den RPM Package Manager, siehe auch https://de.wikipedia.org/wiki/RPM_Package_Manager.
    Florian hat in seinem Post den Befehl für Fedora bzgl. der Paketverwaltung beschrieben.

  6. #6
    kleine schwester von root Avatar von corresponder
    Registriert seit
    May 2002
    Ort
    192.67.198.56
    Beiträge
    3.819
    natürlich kannst du auch mit werkzeugen wie netstat (netstat -an |grep LISTEN)
    schauen, auf welche ports das jeweilige system lauscht und diese dann über die dienste
    systemd oder früher xinit ab- bzw. einschalten.

    das thema firewall solltest eventuell ein bisschen anschaun,
    da kannst du einfach einstellen, was überhaupt von aussen zugreifen darf.

    gruss

    c.
    _______________________________________

    www.audio4linux.de - musik machen mit offenen quellen!

  7. #7
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.047
    Ha ja jedes System hat seine "eigene" Paketverwaltung. Vielleicht kam das unklar rüber.

    Dazu hast du ja schon den Link zu apt bekommen und sonst ginge es auch mit dpkg

    Code:
    dpkg --list | grep systemd
    Wenn du hinter nem Router hängst dürfte "von Werk" aus kein direkter Zugriff von außen möglich sein.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  8. #8
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    20.483
    zumindest solange er kein WLAN, Bluetooth, IR und ähnliches aktiviert hat.

    Ansonsten - installier einfach brav immer die Updates, die die Distribution Dir zur Verfügung stellt. Wenn Du sehr motiviert bist ließt Du parallel die Changelogs und ReleasNotes der Patches der Distribution. Alles darüber hinaus ist für Otto-Normal-User eh nicht handlebar. Und auch nicht notwendig.
    Ich bin root - ich darf das.

  9. #9
    Registrierter Benutzer
    Registriert seit
    Feb 2017
    Beiträge
    9
    So viele Baustellen und so wenig Zeit...
    Ich benutze noch XP als Hauptsystem, würde aber gerne auf Linux umsteigen, weshalb mich eigentlich alles interessiert, was hier erwähnt wurde. Um mich aber nicht zu verzetteln, will ich mich im Moment auf das Wesentliche beschränken:
    1. wie teste ich meine Debian-Systeme auf die aktuell bekannte Sicherheitslücke "SambaCry"?
    2. Wie prüfe ich grundsätzlich meine Debian-Linuxe auf bekannte Lücken?

    "dpkg --list | grep systemd" ist wohl das, was ich aktuell brauche. Das ergibt auf Mint 18 (sorry, nicht 17, wie ich oben schrieb):

    Code:
    xfcetester-VBox xfcetester # dpkg --list | grep systemd
    ii  libpam-systemd:i386                          229-4ubuntu17                              i386         system and service manager - PAM module
    ii  libsystemd-daemon0:i386                      204-5ubuntu20.15linuxmint1                 i386         systemd utility library
    ii  libsystemd-login0:i386                       204-5ubuntu20.15linuxmint1                 i386         systemd login utility library
    ii  libsystemd0:i386                             229-4ubuntu17                              i386         systemd utility library
    ii  systemd                                      229-4ubuntu17                              i386         system and service manager
    rc  systemd-services                             204-5ubuntu20.15linuxmint1                 i386         systemd runtime services
    ii  systemd-shim                                 9-1bzr4ubuntu1                             i386         shim for systemd
    ii  systemd-sysv                                 229-4ubuntu17                              i386         system and service manager - SysV links

    Auf dem BananaPi:

    Code:
    Pi:~# dpkg --list | grep systemd
    ii  libsystemd-login0:armhf         44-11+deb7u5                      armhf        systemd login utility library

    Mit der Ausgabe auf dem BananaPi kann ich bzgl. meiner Suche nichts anfangen.
    Mein Mint scheint die Sicherheitslücke noch zu enthalten, obwohl ich die aktuellsten Updates installiert habe. Damit hätte ich jetzt nicht gerechnet. Ist die Sicherheitslücke weit weniger dramatisch, als sie in einigen Medien dargestellt wird, oder ist es nicht möglich, die Lücke schneller zu schließen, oder ist Mint einfach eine weniger sichere Distribution?

  10. #10
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    20.483
    wie kommst du darauf, bei Mint wäre die Lücke noch enthaten?
    Ich bin root - ich darf das.

  11. #11
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.031
    Ich denke mal einen Schritt zurücktreten und mal das hier lesen (auch wenn es eigentlich dein zweites Anliegen war) und vor allem verstehen, warum die was machen/vorschlagen; ist auch gar nicht so schrecklich lang - https://www.debian.org/doc/manuals/s.../index.de.html
    Die erste Frage wird hier beantwortet: https://heise.de/-3726053 - dh um das in Linux zu können, musst die dich mit der Anwendung nmap befassen
    Geändert von nopes (02.07.17 um 23:49 Uhr) Grund: typo
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  12. #12
    Registrierter Benutzer
    Registriert seit
    Aug 2007
    Ort
    Sauerland
    Beiträge
    916
    Hier bei openSUSE:
    Code:
    rpm -qa --changelog samba | grep -iB3 CVE-2017-7494
    * Mi Mai 24 2017 nopower@suse.com
    - Fix authenticated remote code execution bug;
      CVE-2017-7494; (bso#12780); (bsc#1038231).
    Sollte mit apt/dpkg doch auch funktionieren.....
    Geändert von Sauerland1 (02.07.17 um 20:32 Uhr)

  13. #13
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.047
    So ergänzend möchte ich auch noch erwähnen, dass die Versionen der betroffenen Systeme auch nicht 100%ig sind sondern das wozu man lust und Zeit hatte zu testen oder was eben bekannt ist.

    Wenn du die gleiche Version auf deinem System findest kann dennoch bereits der Patch enthalten sein. Deswegen ändert sich die Versionsnummer nicht zwingend. Deshalb Changelogs lesen.

    Code:
    ap-get changelog systemd
    Mit dpkg ist der Befehl etwas "unhandlicher" daher lass ich das mal.

    Für Mint/*buntu gebe es noch hübsch den CVE Tracker auf:
    http://bugs.launchpad.net/bugs/cve

    So etwas ähnliches solltest du als Newsletter, Blog, Mailinglist wie auch immer bei anderen Distributionen vorfinden. Das dürfte für dich die beste Variante sein. Die Liste und einfach fleißig updaten...
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

Ähnliche Themen

  1. Linux Datenstick Testen
    Von Raker im Forum Linux Allgemein
    Antworten: 9
    Letzter Beitrag: 17.05.16, 01:15
  2. Linux Online testen
    Von Travolds im Forum Meldungen und Mitglieder
    Antworten: 7
    Letzter Beitrag: 11.02.05, 22:54
  3. Linux im Browser testen .....
    Von Thallez im Forum Meldungen und Mitglieder
    Antworten: 11
    Letzter Beitrag: 06.10.04, 14:12
  4. Linux(Knoppix) läuft, Windows nicht. PC mit Linux Testen?
    Von neobytes im Forum stationäre Hardware
    Antworten: 3
    Letzter Beitrag: 31.10.03, 13:15
  5. [OT] Sekretärinnen testen Linux
    Von majobu im Forum Linux Allgemein
    Antworten: 0
    Letzter Beitrag: 19.08.03, 09:01

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •