Eventuell ein Sicherheitsproblem durch die Installation

[JFP]

Liebe Wissende,
keine Ahnung, ob es ein Bug oder ein Feature ist, aber mir kommt es
seltsam vor. Installiert auf meinem neu eingerichteten Bookworm sind
unter anderem SoftMaker-Office in den Versionen 2021 (mit Lizenz) und
2024 (zum 30-tägigen Ausprobieren).
Die Installationen erfolgten natürlich als root.
Suche ich nunmehr im Verzeichnis /usr nach Dateien, die von anderen
Usern als root besessen werden, finde ich mittels
find -uid 1000
die hier nicht vollständig wiedergegebene Liste
./bin/textmaker21
./bin/planmaker21
./bin/presentations24
./bin/presentations21
./bin/textmaker24
./bin/planmaker24
./lib/mime/packages/softmaker-office-2021
./lib/mime/packages/softmaker-office-2024
./share/pixmaps/tmd21.png
./share/pixmaps/......
./share/office2024
./share/office2024/...........
./share/office2021
./share/office2021...........
also massenweise Dateien, die dem Standardnutzer mit der UID 1000
gehören. In meinen Augen ist das ein Sicherheitsproblem. Ich habe es
auch auf mehreren Rechnern ausprobiert, es ist überall dasselbe.
Wie seht ihr das? Ist das bei euch genauso?
Ich habe es bei mir jetzt als root mittels
cd /usr
find -uid 1000 -exec chown root:root {} \;
korrigiert.

--
Schöne Grüße vom Möhnesee

Jürgen F. Pennings

[lively]

Hallo Jürgen,
um deinen Betreff zu hinterfragen:
Wo siehst Du das event. Sicherheitsproblem?
Interssiert mich rein technisch.
VG

[JFP]

Linux ist ein Mehrbenutzersystem. Der Benutzer mit der UID 1000 kann die ausführbaren Dateien manipulieren, so dass andere Benutzer nicht mehr mit den echten Programmdateien arbeiten, sondern mit Programmen, die andere Dinge tun. Ich meine, dass solche Angriffe bereits getätigt wurden, nicht mit SoftMaker-Dateien, aber mit anderen. Es ist auf jeden Fall ein Angriffsvektor, der unter Linux nicht gegeben sein sollte.

[monikas]

Hallo Jürgen,

bei mir ist das unter Ubuntu 22.04 genau so. Vielen Dank für den Hinweis.

VG Monika

[JFP]

Hi Moni, gern geschehen. Ich denke, dass das unter jeder Linux-Distribution so ist.

Mich wundert hier nur, dass von den SoftMaker-Leuten zu diesem Thema noch nix geantwortet wurde. Schämen die sich vielleicht, so etwas verzapft zu haben?
Es widerspricht in jedem Fall jeglicher Sicherheitsphilosophie von Linux, wenn unter /usr ausführbare Dateien liegen, die nicht root gehören.
Ein Angriffsvektor wäre auch dieses (auch Linux ist vor sowas nicht gefeit):
Der user mit der UID 1000 wurde durch irgendwelche Firefox- oder Chromium-Skripts kompromittiert. In dem Moment ist es für den externen Angreifer,
der bereits die Dateien verändert hat, die unter /usr zum Nutzer mit der UID 1000 gehören, ein Leichtes, auch allen anderen Nutzern des Systems, die SoftMaker-Office benutzen, irgendwelche Software durch Manipulation dieser Dateien unterzuschieben. Achtung! Linux ist ein Mehrbenutzersystem!!
root dürfte das zwar (hoffentlich!) nicht sein, aber ein Einfallstor ist es auf jeden Fall.

Liebe SoftMaker-Programmierer, ändert doch bitte einfach den Besitzer dieser betreffenden Dateien zukünftig auf root. Ich (und sicherlich auch alle anderen Linux-Nutzer, die eure proprietäre Software benutzen) vertraue euch, dass ihr keine Hintertür einbaut, die den kompletten Rechner ausspioniert.

[SuperTech]

Danke, dass Sie dieses Problem gemeldet haben. Ich habe alle Details an unser Entwicklerteam weitergeleitet und werde Sie hier aktualisieren, sobald ich eine Antwort erhalten habe.

[ArGei]

Servus,

mit dem neuen Servicepack 1202 wurden bei mir (openSuSE 15.4) nur noch die .dwr-Dateien in /usr/share/office... mit userid 1000 installiert.
Ist ja schon mal ein Anfang

Grüße
Armin

[JFP]

Bei mir (bookworm) bei NX 1202 hat es sich noch nicht geändert, also weiterhin der ganze Kladderadatsch unter UID 1000. Aber ich bin ja guter Hoffnung, dass das bald geändert wird. Wenn man es weiß, kann man es ja schnell korrigieren.

[SuperTech]

Unser Entwicklerteam hat dieses Problem behoben und die Lösung wird im nächsten Service Pack enthalten sein.

[JFP]

Herzlichen Dank!

[ArGei]

Habe eben Servicepack 1204 als rpm unter opensue 15.5 installiert.
Die *.dwr-Dateien in /usr/share/officenx werden jetzt als $USER:plugdev installiert, alles andere als root:root.

[JFP]

Bei mir ist jetzt alles so, wie es sein soll, alle Dateien in /usr und dessen Unterverzeichnissen, die von SoftMaker installiert wurden, gehören root.
Danke für die Korrektur!