Instant Messanger pidgin greift ungefragt auf ISO Dateien, Bewerbung.doc und fstab usw. zu

[Cordess]

Ich habe hier auf einem recht aktuellen und vor wenigen Monaten frisch installierten Debian Buster gerade eben die Pakete
apparmor-profiles-extra - Version 1.26
und
pidgin - Version 2.13.0-2+b1

aus dem offiziellen Debian Repository installiert und ich bin froh, dass ich vorher dieses apparmor-profiles-extra Paket installiert habe, denn an dem pidgin Paket ist etwas ziemlich faul.

Denn wieso zum Geier greift dieses Programm, nach dem ich es gestartet habe, auf meine /etc/fstab, einige Distributions ISO Dateien, einschließlich ISO Dateien mit "win" im Namen und auf meine Bewerbung.doc Datei, sowie einer thumbnail eines Bildes, das ich vor kurzem mir angeschaut habe zu, nach dem ich mich mit einem XMPP/Jabber Server verbunden habe?

Code: Alles auswählen

Oct  6 03:52:17 HOSTNAME kernel: [35108.083962] audit: type=1400 audit(1601949137.992:35): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/proc/10810/mountinfo" pid=10810 comm="gmain" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
Oct  6 03:52:17 HOSTNAME kernel: [35108.084048] audit: type=1400 audit(1601949137.992:36): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/etc/fstab" pid=10810 comm="pidgin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Oct  6 03:52:17 HOSTNAME kernel: [35108.084054] audit: type=1400 audit(1601949137.992:37): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/proc/10810/mountinfo" pid=10810 comm="pidgin" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
Oct  6 03:52:18 HOSTNAME kernel: [35108.103608] audit: type=1400 audit(1601949138.012:38): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/home/USERNAME/Downloads/iso/Samsung_SSD_860_EVO_RVT04B6Q_Win.iso" pid=10810 comm="pool" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Oct  6 03:52:18 HOSTNAME kernel: [35108.103694] audit: type=1400 audit(1601949138.012:39): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/home/USERNAME/documents/bewerbung.doc" pid=10810 comm="pool" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
Oct  6 03:52:18 HOSTNAME kernel: [35108.103882] audit: type=1400 audit(1601949138.012:40): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/home/USERNAME/Downloads/iso/kubuntu-20.04.1-desktop-amd64.iso" pid=10810 comm="pool" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Oct  6 03:52:18 HOSTNAME kernel: [35108.103900] audit: type=1400 audit(1601949138.012:41): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/home/USERNAME/Downloads/iso/debian-live-10.5.0-amd64-standard.iso" pid=10810 comm="pool" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Oct  6 03:52:18 HOSTNAME kernel: [35108.103919] audit: type=1400 audit(1601949138.012:42): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/var/lib/AccountsService/icons/USERNAME" pid=10810 comm="pool" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
Oct  6 03:52:18 HOSTNAME kernel: [35108.112782] audit: type=1400 audit(1601949138.024:43): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/home/USERNAME/.cache/thumbnails/normal/ec47f340a0e9f39315dbfa3ea4764ed4.png" pid=10810 comm="pool" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000
Oct  6 03:52:18 HOSTNAME kernel: [35108.113742] audit: type=1400 audit(1601949138.024:44): apparmor="DENIED" operation="open" profile="/usr/bin/pidgin" name="/home/USERNAME/Downloads/iso/Samsung_SSD_860_EVO_RVT04B6Q_Win.iso" pid=10810 comm="pool" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0

Das ist schon ein sehr faules Verhalten.
Ich tippe hier mal auf eine schwere Sicherheitslücke die jemand nach dem Verbinden versucht hat auszunutzen.
Denn wieso sollte es sonst auf meine Bewerbung zugreifen, die ich übrigens selbst seit langer Zeit nicht mehr angerührt habe?

In den Trackern steht bezüglich einer Sicherheitslücke folgendes:

https://tracker.debian.org/pkg/pidgin
https://security-tracker.debian.org/tra ... age/pidgin

Eventuell könnte CVE-2012-1257 in Frage kommen.

Die Debian Package Changelog:
https://metadata.ftp-master.debian.org/ ... _changelog
https://bugs.debian.org/cgi-bin/pkgrepo ... t=unstable

Die aktuellste Version der Entwickler hat übrigens folgende Changelog:
https://keep.imfreedom.org/pidgin/pidgi ... /ChangeLog

So werde ich das aber nicht benutzen können. Ich werde es wieder deinstallieren und stattdessen gajim installieren.
Für gajim gibt's für Debian allerdings noch keine apparmor Regeln. Daher werde ich gajim via Flatpak installieren, dann habe ich die apparmo Absicherung wenigstens für gajim über Flatpak.

[inne]

Hallo,

kann es auch mit dem Dateiversionsverlauf zuletzt geöffneter Dateien unter GNOME zusammenhängen? Vlt. den mal leeren und dann nochmal schauen.

[Cordess]

Das hatte ich auch vermutet, aber wenn das der Fall wäre, dann würden die Daten sehr selektiv ausgewählt werden.
Denn in der ~/.local/share/recently-used.xbel sind noch ganz andere Doc und ISO Dateien aufgelistet und die wurden von pidgin nicht versucht zu öffnen.

Außerdem habe ich jetzt mal die Datei geleert und ganz andere DOC Dateien geöffnet und mit dem virt-manager andere ISO Dateien gestartet, so dass in recently-used.xbel entsprechende andere neue Einträge angelegt wurden.
Aber wenn ich jetzt pidgin starte und mich einlogge, dann erhalte ich von apparmor gar keinen Zugriffsversuch auf irgendeinen dieser Dateien.

D.h. ich kann das, was ich gestern beobachtet habe, nicht reproduzieren.

Das würde aus meiner Sicht eher für einen Hacker oder aktiven Bot sprechen, der Jabber Accounts abarbeitet und bekannte Schwachstellen von bekannten XMPP Clients dann ausnutzt um entsprechende Dateiabfragen zu tätigen.

Ich weiß allerdings nicht, ob man mit XMPP beliebige Nutzer, die gerade online sind, kontaktieren kann, so wie das bspw. bei ICQ der Fall war. Irgendwoher bräuchte so ein Bot ja die Daten für eine Liste, damit er weiß, wen er kontaktieren kann. Wenn das nicht möglich ist, dann müsste er den Jabberserver direkt kontrollieren.