Red Star 3.0 y una grave vulnerabilidad

red star os

Hace poco mi compañero Isaac nos habló de Red Star Linux, una distro coreana con aires de Mac OS X que la verdad destaca bastante con ese bien logrado diseño, que busca atraer a aquellos usuarios que o bien llegan desde esa plataforma o bien están más interesados en la estética. Tantos atributos le valieron ser una de las descargas más populares en BitTorrent, pero junto con la masividad también es normal que se pose la lupa de los más detallistas, y al parecer se ha encontrado en esta distro una grave vulnerabilidad.

De acuerdo a lo informado por un investigador -conocido como ‘Hacker Fantastic’ en la lista de correo de Open Source Software Security (oss-sec)- el problema en Red Star Linux es que el archivo con las reglas de udev (/etc/udev/rule.d/85-hplj10xx.rules) puede ser escrito por todos los usuarios. Esto hace posible incluir argumentos del tipo RUN+= para así añadir comandos ejecutables, camuflados como si fueran realizados de parte del usuario root, y no es necesario explicar la peligrosidad que esto representa.


Udev es una herramienta de gestión de dispositivos para el kernel de Linux, capaz de identificar cuando un dispositivo -como por ejemplo una tarjeta de memoria o pendrive- es insertado en el equipo. Allí no sólo se especifica el sitio de montaje sino también los comandos a ejecutar cuando esto suceda, de allí su peligrosidad

La versión anterior de Red Star Linux, la 2.0, también contenía otro error bastante infantil y simple como el de incluir el archivo /etc/rc.d/rc.sysinit con permisos de lectura y escritura para todo el mundo. Como vemos se trata de situaciones que podrían ser evitadas con un poco de esmero en la seguridad, aunque a pesar de su gravedad no han podido ser explotadas en forma intensiva debido a que esta distro todavía no ha logrado una tasa de penetración significativa fuera de Corea del Norte, y la mayoría de los usuarios de occidente que la utilizan lo hacen a modo experimental.


Categorías

Distribuciones

Willy Klew

Ingeniero en Informática, soy un fanático de Linux, Android, la programación, redes y todo lo que tenga que ver con las nuevas tecnologías. Ex atleta, y usuario de Linux desde 1997. Ah, y un total enfermo del fútbol.

Escribe un comentario