Noch ein kleiner Hinweis auf eine Schwachstelle im Mozilla VPN, die bereits zum 3. August 2023 bekannt wurde. Unter Linux ermöglicht diese Schwachstelle Angreifern ohne Root-Rechte die VPN-Konfiguration anderer Nutzer zu ändern. Matthias Gerstner, ein Sicherheitsingenieur bei SuSe hat das Problem entdeckt und bereits am 4. Mai 2023 an Mozilla gemeldet. Passiert ist nichts, die Schwachstelle blieb ungepatcht.
Anzeige
Ich hatte es am Rand mitbekommen (u.a. hier). Stefan Kanthak hat das Thema aber nochmals im Kontext mit Microsofts langsamen Patchen der Azure-Schwachstelle (siehe Nach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt) nochmals mit folgender sinngemäßer Anmerkung hochgespült.
Nicht nur Microsoft ist ein Sicherheitsrisiko
Unter [obigem Blog-Beitrag] referenzierst Du die zutreffende Kritik seitens Tenable an Microsofts mieser Kommunikation und Schlafmützigkeit (die ich aus eigener, inzwischen 25-jähriger Erfahrung mit diesem So^Haftladen nur zu gut bestätigen kann.
[…]solch miese Kommunikation und Schlafmützigkeit gibt es auch [andernorten] hier: Mozilla VPN: CVE-2023-4104: Privileged vpndaemon on Linux wrongly
In dem verlinkten Beitrag auf OpenWall schreibt Matthias Gerstner, dass ein openSUSE Community-Packer den Mozilla VPN-Client zur
openSUSE Linux-Distribution Tumbleweed hinzufügen wollte. So etwas erfordert eine Überprüfung durch das SUSE-Sicherheitsteam, weil der Mozilla VPN-Client einen privilegierten D-Bus-Dienst, der als Root läuft, und eine Polkit-Richtlinie enthält.
Bei dieser Überprüfung des Mozilla VPN-Client Version 2.14.1 stellten die Leute vom SuSe Sicherheitsteam eine defekte und ansonsten fehlende Polkit Autorisierungslogik im privilegierten `mozillavpn linuxdaemon` Prozess fest. Die Entwickler von Mozilla wurden dann über diese Schwachstelle informiert, aber nichts passierte. Nachdem die maximale Embargofrist von 90 Tagen überschritten wurde, hat Matthias Gerstner das Ganze dann auf OpenWall öffentlich gemacht. Dazu schreibt er, dass die meisten der in diesem Bericht erwähnten Probleme derzeit nicht von den Entwickler behoben werden. Details lassen sich auf OpenWall nachlesen.
Anzeige
Vor Wording her klingt das nach "Linux hat ein Problem". "Mozillas VPN-Schwachstelle unter Linux" beschreibt's wohl besser.
Mozilla gehört wohl auch zu den getriebenen, aber bei VPN sollte man sich nicht treiben lassen (Wortspiel ;)
Hier im Blog werden Probleme mit Externen Programmen auch sehr oft Windows angelastet.
Wenn z.b. eine DLL eines Externen Programmes unter Windows einem Benutzer Admin rechte verschaffen,
wird hier immer wieder von Windows Problemen gesprochen.
Also warum sollte das Mozilla VPN Problem kein Linux Problem sein ?
Die Sicherheitslücke ist nun mit der kürzlich veröffentlichten Version 2.16.1 behoben.
Siehe auch: https://github.com/mozilla-mobile/mozilla-vpn-client/pull/7680