Jails in FreeBSD nicht ausbruchsicher

Nach Angaben der FreeBSD-Entwickler ist es unter bestimmten Umständen möglich, aus einem Jail auszubrechen. Mit Jails lassen sich Prozesse einsperren, sodass sie nur noch auf einen Teil des Dateisystems zugreifen können und einige weitere potenziell gefährliche Funktionen nicht nutzen dürfen. Selbst wenn ein Angreifer die volle Kontrolle über einen Prozess im Jail erlangt, kann er nur wenig Schaden anrichten, da es selbst mit Root-Rechten nicht möglich sein sollte, aus dem Gefängnis auszubrechen.

Durch einen Fehler im jail-Skript (jail rc.d(8)) ist es über symbolische Links jedoch möglich, auf Ressourcen außerhalb des Jails zuzugreifen, um so etwa Dateien zu überschreiben und an Root-Rechte des Systems zu gelangen. Einen Kandidaten für möglichen Missbrauch führen die Entwickler im Fehlerbericht an: Ersetzt man die Datei /var/log/console.log im Jail durch einen symbolischen Link, so gelingt der Ausbruch aus dem Jail. Darüber sollen sich auch die Mount-Points der Verzeichnisstruktur manipulieren lassen.

Der Fehler lässt sich allerdings nur beim Starten und Stoppen des Jail-Skripts ausnutzen. Betroffen sind alle FreeBSD-Versionen seit 5.3. In neuen FreeBSD-Verisonen ist das Problem behoben. Ein Patch für FreeBSD 5.5, 6.0, und 6.1 steht ebenfalls bereit. Zuletzt wurde ein ähnlicher Fehler in FreeBSD Anfang 2004 bekannt.

Siehe dazu auch:

• Jail rc.d script privilege escalation, Fehlerbericht von FreeBSD
• Eingesperrt -- BSD-Jails als Werkzeug zur Systemabsicherung, Hintergrundartikel der iX

(dab)