.xsession-errors enthaelt WLAN-Password!

[vdvogt]

Hallo Leute,
ich glaube, ich habe gerade ein Sicherheitsleck entdeckt:
Weil ich wegen einer anderen Sache in .xsession-errors gesucht habe, habe ich in einem Abschnitt zum einloggen in mein WLAN mein WLAN-Password im Klartext entdeckt:

Code: Alles auswählen

"802-11-WIRELESS-SECURITY" SETTINGS
---------------------------
type: "802-11-wireless-security"
initialized: true
key-mgmt: 3
wep-tx-keyidx: 0
auth-alg: 0
proto: () 
 pairwise: () 
 group: () 
 leap-username: ""
wep-key0: ""
wep-key1: ""
wep-key2: ""
wep-key3: ""
wep-key-flags: QFlags() 
 wep-key-type: 0
psk: "hier steht mein WLAN-Password im Klartest fuer jedermann zu lesen!!!"          <--------------------------------------------------
psk-flags: QFlags() 
 leap-password: ""
leap-password-flags: QFlags() 

Sowas darf nicht sein, denn wer Zugriff auf .xsession-errors bekommt, der kann das sofort auslesen.

Ich denke, das sollte schleunigst korrigiert werden.

Viele Gruesse
Veit

[bullgard]

Ich denke, Du solltest schleunigst einen Fehlerbericht an die Debian-Fehlerdatenbank schreiben.
Gruß
bullgard

[DeletedUserReAsG]

Ich denke, um das zu beurteilen, fehlen relevante Informationen. Welches System und welches Programm, das die Daten in das Log schreibt? Welche Rechte hat die Logdatei, und welche die Konfigurationsdatei, in der die Passphrase hinterlegt ist?

Bei mir steht’s jedenfalls nicht drin.

[BenutzerGa4gooPh]

Wenn ich auf den Netzwerkmanager klicke, Verbindungen bearbeiten (also 2x rechte Maustaste), Funknetzwerk: Da kann ich den Pre Shared Key von WPA2 (oft WLAN-Passwort genannt) im Klartext und sogar als User anzeigen lassen. Irgendwo ist das im Klartext und sogar im Userspace (wohl ungehasht wegen möglicher Klartextanzeige) gespeichert. Ursächliches "Sicherheitsleck" (TM) und geht nicht anders wegen Ermöglichung der WLAN-Konfig. auch durch Nutzer?
(Stretch/XFCE)

[vdvogt]

Hallo,
ich habe Debian 9 Stretch mit KDE.
Ich denke, dass der Networkmanager das dort reingeschrieben hat.

Mehr kann ich dazu auch nicht sagen, als dass die .xsession-errors bei mir ca. 140MB gross ist.
Muss die so gross werden?
Warum greift hier nicht logrotate und haelt die klein?
Ausserdem sind keinerlei Zeitstempel enthalten, so dass das Nachvollziehen von Fehlern sehr schwierig wird.

Gruesse
Veit

[MSfree]

Ich denke, dass der Networkmanager das dort reingeschrieben hat.

Der Networkmanager erzeugt höchstens eine Nachricht an den Displaymanager und der schreibt dann in die Datei. Programme im Userspace schreiben da nicht (direkt) rein.

Mehr kann ich dazu auch nicht sagen, als dass die .xsession-errors bei mir ca. 140MB gross ist.
Muss die so gross werden?

Wenn du die nie löschst, wird sie halt so groß. Du kannst die Datei problemlos während des Betriebs löschen, die wird automatisch neu angelegt. Wenn sie in kurzer Zeit auf 140MB wächst, solltest du schauen, was das verursacht und das fehlerhafte Program meiden bzw. nach einem Update oder einer Alternative suchen.

Warum greift hier nicht logrotate und haelt die klein?

Weil du logrotate nicht entsprechend konfiguriert hast. Logrotate benötigt eine Liste von Dateien (oder Unterverzeichnissen), die rotiert werden sollen, siehe /etc/logrotate.conf und /etc/logrotate.d/* uind vor allem man logrotate.

Benutzerverzeichnisse sind per default kein Bestandteil der Dateien, die logrotate berücksichtigt. Ich würde das auch nicht einbauen. Bei Rechnern, die nich 24/7 laufen, ist logrotate weitgehend wirkungslos, weil der Rechner in der Regel aus ist, wenn logrotate seine Arbeit machen möchte.

[MSfree]

Sowas darf nicht sein, denn wer Zugriff auf .xsession-errors bekommt, der kann das sofort auslesen.

Das ist zumindest kurios. Es gibt viele Programme, die man über Verbose-Schalter in einen Modus versetzen kann, in dem sie vieles in ihre Logfiles oder ins Systemlog schreiben. Zum Debuggen kann sowas durchaus hilfreich sein. Den PPPoE kann man beispielsweise auch das bringen, Anmeldedaten (Nutzername und Paßwort) im Klartext in Logs zu schreiben.

Ich würde hier erstmal schauen, ob da nicht irgendein Debug- oder Verbosemodus (versehentlich) aktiv ist.

[mat6937]

Code: Alles auswählen

psk: "hier steht mein WLAN-Password im Klartest fuer jedermann zu lesen!!!"          <------------------------------------------------

... wer Zugriff auf .xsession-errors bekommt, der kann das sofort auslesen.

BTW: Auf die .xsession-errors-Datei hat nicht jedermann Zugriff. Die ist "rw" nur für den user, der die xsession gestartet hat.
Siehe:

Code: Alles auswählen

ls -la ~/.xsession-errors

[guennid]

ich glaube, ich habe gerade ein Sicherheitsleck entdeckt:

Ich behaupte mal: Allenfalls eins, das ca. 60cm vor dem Bildschirm sitzt.

Insofern würde ich MSfree beipflichten, erst mal die eigenen Konfiguration(en) zu überprüfen. Gegebenenfalls klassisch beginnen: neuer User und schauen, wie's da aussieht.

Nebenbei: In den Code-Schnipsel lese ich immer nur "WEP". Kann es sein, dass man da über Sicherheit eigentlich gar nicht weiterzureden brauchte?

[vdvogt]

Hallo,
Nein WEP ist bei mir ganz bestimmt NICHT eingestellt!
Ausserdem steht bei allen Eintraegen, die mit WEP beginnen ein LEERER Key drin, d.h. (wenn man lesen kann), dass das nicht eingestellt sein kann.

Grüsse
Veit