Sicherheitslücken im Linux-Kernel entdeckt

Russische Forscher haben Sicherheitslücken im Linux-Kernel entdeckt und bereits behoben. Linux-Admins sollten schleunigst den Patch implementieren.

Der Linux-Sicherheitsentwickler Alexander Popov von der russischen Firma Positive Technologies hat eine Reihe von fünf Sicherheitslücken in der Virtual-Socket-Implementierung des Linux-Kernels entdeckt und behoben. Ein Angreifer könnte diese Schwachstellen (CVE-2021-26708) nutzen, um Root-Zugriff zu erlangen und Server in einer Denial-of-Service-Attacke (DoS) außer Gefecht zu setzen.

Diese Schwachstelle hat einen Common Vulnerability Scoring System (CVSS) v3 Base Score von 7.0, also einen hohen Schweregrad. Deshalb sollten Linux-Administratoren ihre Systeme so schnell wie möglich patchen.

Während Popov die Fehler in Red Hats Community-Linux-Distribution Fedora 33 Server entdeckte, existieren sie in Systemen, die den Linux-Kernel von der Version 5.5 vom November 2019 bis zur aktuellen Mainline-Kernel-Version 5.11-rc6 verwenden.

Diese Sicherheitslücken entstanden in Linux, als die Unterstützung für den Multi-Transport von virtuellen Sockets hinzugefügt wurde. Dieser Netzwerktransport erleichtert die Kommunikation zwischen virtuellen Maschinen (VM) und ihrem Host.  Er wird üblicherweise von Gast-Agenten und Hypervisor-Diensten verwendet, die einen Kommunikationskanal benötigen, der unabhängig von der Netzwerkkonfiguration der VM ist. Daher sind Personen, die VMs in der Cloud betreiben, also praktisch alle, besonders anfällig.

Das Kernproblem sind Race Conditions in den Kernel-Treibern CONFIG_VSOCKETS und CONFIG_VIRTIO_VSOCKETS. Diese werden in allen größeren Linux-Distributionen als Kernel-Module ausgeliefert. Der Grund, warum dies ein so ernstes Problem ist, liegt darin, dass jedes Mal, wenn ein normaler Anwender einen AF_VSOCK-Socket erstellt, die anfälligen Module automatisch geladen werden.  Eine Race Condition liegt vor, wenn das wesentliche Verhalten eines Systems von der Abfolge oder dem Timing unkontrollierbarer Ereignisse abhängt.

Popov sagte: „Ich habe erfolgreich einen Prototyp eines Exploits für die lokale Privilegienerweiterung auf Fedora 33 Server entwickelt, der die Schutzmechanismen der x86_64-Plattform wie SMEP und SMAP umgeht. Diese Forschung wird zu neuen Ideen führen, wie man die Sicherheit des Linux-Kernels verbessern kann.“

In der Zwischenzeit hat Popov auch den Patch vorbereitet und die Schwachstellen dem Linux-Kernel-Sicherheitsteam offengelegt. Greg Kroah-Hartman, der Chef-Maintainer des stabilen Linux-Kernels, akzeptierte die Patches am 3. Februar in Linux 5.10.13. Seitdem wurde der Patch in die Mainline-Kernel-Version 5.11-rc7 eingebunden und in die betroffenen Stable-Trees zurückportiert.

Der Patch wurde auch bereits in beliebte Linux-Distributionen wie Red Hat Enterprise Linux (RHEL) 8, Debian, Ubuntu und SUSE integriert.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Themenseiten: Linux, Positive Technologies

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitslücken im Linux-Kernel entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *