|
[[!meta date="Sun, 07 Feb 2009 18:51:24 +0000"]]
|
[[!meta date="Sun, 07 Feb 2009 18:51:24 +0000"]]
|
|
[[!meta title="Possible use of an untrusted Live system found on local hard-disk"]]
|
[[!meta title="Möglicher Einsatz eines nicht vertrauenswürdigen Live-Systems gefunden auf lokaler Festplatte"]]
|
|
[[!pagetemplate template="news.tmpl"]]
|
[[!pagetemplate template="news.tmpl"]]
|
|
[[!tag security/fixed]]
|
[[!tag security/fixed]]
|
|
live-initramfs boot scripts, that are used in amnesia, can boot an untrusted Live system found on the local hard-disk, rather than the one present on the USB stick on CD, as could be expected.
|
live-initramfs-Boot-Skripte, die in Amnesia verwendet werden, können ein nicht vertrauenswürdiges Live-System booten, das sich auf der lokalen Festplatte befindet, und nicht, wie zu erwarten wäre, auf dem USB-Stick oder der CD.
|
|
This can only happen in the (pretty rare) case when Linux needs more than 15 seconds to make the legitimate USB stick or CD ready.
|
Dies kann nur in dem (recht seltenen) Fall passieren, dass Linux mehr als 15 Sekunden braucht, um den legitimen USB-Stick oder die CD bereitzustellen.
|
|
Impact
|
Auswirkungen
|
|
Booting another Live system than the one you think, without being told, can lead to any kind of information leak, anonymity break, etc.
|
|
|
Solution
|
|
|
None yet. Either build your own images from Git, or wait for the imminent 0.4.2 release.
|
|
|
Mitigation
|
|
|
Do not use amnesia on untrusted computers.
|
|
|
Affected versions
|
|
|
Any Debian Live-based system, including every amnesia release until, and including, 0.4.1.
|
|
