Categories: Open SourceSoftware

Sicherheitslücke im Linux-Kernel

Hinter fast allen Linux-Firewall-Tools wie iptables, seiner neueren Version nftables, firewalld und ufw steht netfilter, das den Zugang zum und vom Linux-Netzwerkstack kontrolliert. Es ist ein wesentliches Linux-Sicherheitsprogramm, daher ist es eine große Sache, wenn eine Sicherheitslücke darin gefunden wird.

Nick Gregory, ein Bedrohungsforscher  von Sophos, fand die Lücke CVE-2022-25636 kürzlich bei der Überprüfung von Netfilter auf mögliche Sicherheitsprobleme. Dies ist ein ernster Fehler. Genauer gesagt handelt es sich um ein Heap-out-of-bounds-Schreibproblem mit dem Netzfilter des Kernels. Nick Gregory sagte, dass es „ausnutzbar ist, um Kernel-Code auszuführen (über ROP [Return-Oriented Programming]), was eine vollständige lokale Privilegienerweiterung, Container-Escape oder was auch immer ermöglicht.“

Dieses Problem besteht, weil Netfilter seine Hardware-Offload-Funktion nicht korrekt handhabt. Ein lokaler, unprivilegierter Angreifer kann dies nutzen, um einen Denial-of-Service (DoS) zu verursachen, beliebigen Code auszuführen und allgemeines Chaos anzurichten. Und was noch schlimmer ist: Dies funktioniert sogar, wenn die angegriffene Hardware keine Offload-Funktionalität hat! Das liegt daran, wie Gregory in einer Sicherheitsliste schrieb: „Obwohl es sich um einen Code handelt, der sich mit Hardware-Offload befasst, ist dieser Fehler auch dann erreichbar, wenn Netzwerkgeräte angegriffen werden, die keine Offload-Funktionalität haben (z. B. lo), da der Fehler ausgelöst wird, bevor die Regelerstellung fehlschlägt.“

Diese Sicherheitslücke ist in den Linux-Kernel-Versionen 5.4 bis 5.6.10 vorhanden. Sie ist als Common Vulnerabilities and Exposures (CVE-2022-25636) aufgelistet, und mit einem CVSS-Score (Common Vulnerability Scoring System) von 7,8 ist dies ein echtes Problem.

In seinem Advisory schreibt Red Hat: „Dieser Fehler ermöglicht es einem lokalen Angreifer mit einem Benutzerkonto auf dem System, Zugriff auf Speicher außerhalb des zulässigen Bereichs zu erlangen, was zu einem Systemabsturz oder einer Bedrohung durch eine Privilegienerweiterung führen kann.“

Schlimmer noch, es betrifft die neuesten Versionen großer Distributionen wie Red Hat Enterprise Linux (RHEL) 8.x, Debian Bullseye, Ubuntu Linux und SUSE Linux Enterprise 15.3. Der Linux-Kernel-Netfilter-Patch wurde zwar erstellt, ist aber noch nicht in allen Distributionsversionen verfügbar.

Wenn Sie noch keinen Patch haben, können Sie das Problem in der RHEL-Familie mit den folgenden Befehlen entschärfen:

# echo 0 > /proc/sys/user/max_user_namespaces

# sudo sysctl –system

Und in der Debian/Ubuntu-Familie mit dem Befehl:

$ sudo sysctl kernel.unprivileged_userns_clone=0

Wenn Sie nicht wollen, dass Ihnen Ihre Linux-Server unter den Füßen weggeklaut oder einfach vom Netz genommen werden, ist es an der Zeit, Ihr System entweder zu patchen oder es zu sperren, um Ärger zu vermeiden.

ZDNet.de Redaktion

Recent Posts

Erneut mehr als 90 schädliche Apps im Google Play Store entdeckt

Sie verbreiten einen Banking-Trojanern. Die Hintermänner nehmen mit Anatsa auch Nutzer in Deutschland ins Visier.

1 Tag ago

Markt für KI-Chips wächst 2024 voraussichtlich um 33 Prozent

Das Volumen des Markts steigt auf rund 71 Milliarden Dollar. Der Bereich KI-Beschleuniger für Server…

1 Tag ago

Container und Kubernetes für Cybersicherheitsvorfälle in Deutschland verantwortlich

Das gilt vor allem für Unternehmen mit mehreren Standorten. Viele Vorfälle sind auf Konfigurationsfehler und…

1 Tag ago

17 Prozent der Bundesbürger bereits auf Phishing hereingefallen

Mehr als die Hälfte der Nutzer in Deutschland kann nach eigenen Angaben Phishing und Spam…

1 Tag ago

Neue Technologie in Browsergames – Flash verschwindet und wird durch HTML5 ersetzt

Browsergames haben seit den frühen 2000er Jahren eine enorme Popularität erlangt und Millionen von Spielern…

1 Tag ago

Salesforce schmiedet Datenallianz

Der CRM-Marktführer stellt ein neues Ökosystem vor, das die Integration von Kunden- und Marktdaten erleichtern…

2 Tagen ago