Schwerwiegende Sicherheitslücke im Linux-Kernel

Die Zero Day Initiative (ZDI) hat eine neue Sicherheitslücke im Linux-Kernel bekannt gegeben. Diese Lücke ermöglicht es authentifizierten Remote-Benutzern, sensible Informationen preiszugeben und Code auf anfälligen Linux-Kernel-Versionen auszuführen.

Das ZDI bewertete die Sicherheitslücke mit einer perfekten 10 auf der CVSS-Skala (Common Vulnerability Scoring System) von 0 bis 10.

Das Problem liegt im Linux 5.15 In-Kernel Server Message Block (SMB) Server, ksmbd. Die spezifische Schwachstelle besteht in der Verarbeitung von SMB2_TREE_DISCONNECT-Befehlen. Das Problem resultiert aus der fehlenden Validierung der Existenz eines Objekts vor der Durchführung von Operationen mit dem Objekt. Ein Angreifer kann diese Schwachstelle ausnutzen, um Code im Kernelkontext auszuführen.

Dieses neue Programm, das im Jahr 2021 in den Kernel aufgenommen wurde, wurde von Samsung entwickelt. Sein Ziel war es, eine schnelle SMB3-Dateiverwaltungsleistung zu bieten. SMB wird unter Windows in Linux über Samba als wichtiges Dateiserverprotokoll verwendet. Ksmbd ist nicht als Ersatz für Samba gedacht, sondern soll es ergänzen. Die Entwickler von Samba und ksmbd arbeiten daran, dass die Programme zusammenarbeiten.

Jeremy Allison, der Miterfinder von Samba, merkt dazu an: „ksmbd hat keinen gemeinsamen Code mit dem Produktions-Samba. Es ist komplett von Grund auf neu. Die aktuelle Situation hat also nichts mit dem Samba-Dateiserver zu tun, den Sie vielleicht auf Ihren Systemen einsetzen.

Alle Distributionen, die den Linux-Kernel 5.15 oder höher verwenden, sind potenziell anfällig. Dazu gehören Ubuntu 22.04 und seine Nachfolger sowie Deepin Linux 20.3. Für Serverzwecke ist Ubuntu am bedenklichsten. Andere Unternehmensdistributionen, wie die Red Hat Enterprise Linux (RHEL)-Familie, verwenden den Kernel 5.15 nicht. Nicht sicher? Führen Sie einfach aus:

$ uname -r

um herauszufinden, welche Kernel-Version Sie verwenden.

Wenn Sie den anfälligen Kernel verwenden, führen Sie anschließend aus, ob das verwundbare Modul vorhanden und aktiv ist:

$ modinfo ksmb

Was Sie sehen wollen, ist, dass das Modul nicht gefunden wurde. Wenn es geladen ist, sollten Sie auf den Linux-Kernel 5.15.61 aktualisieren. Viele Distributionen haben leider noch nicht auf diese Kernelversion umgestellt.

ZDNet.de Redaktion

Recent Posts

Chrome 124 schließt 23 Sicherheitslücken

Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…

37 Minuten ago

Plus 8 Prozent: Gartner hebt Prognose für IT-Ausgaben an

Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…

14 Stunden ago

Hacker verbreiten neue Windows-Backdoor per Word-Add-in

Die Hintermänner stammen mutmaßlich aus Russland und haben staatliche Unterstützung. Die Backdoor Kapeka wird seit…

15 Stunden ago

Brand-Phishing: Microsoft und Google im ersten Quartal weiter führend

Cyberkriminelle haben auf Zahlungs- und Zugangsdaten abgesehen. LinkedIn landet auf dem ersten Platz. Zudem verhelfen…

16 Stunden ago

Firefox 125 verbessert PDF Viewer und Sicherheit

Texte können nun im PDF Viewer farblich markiert werden. Firefox blockiert zudem mehr verdächtige Downloads…

22 Stunden ago

KI-Gesetz: EU macht ernst mit Risikomanagement und Compliance

Unternehmen haben nicht mehr viel Zeit, ihre KI-fähigen Systeme zu katalogisieren und zu kategorisieren, sagt…

22 Stunden ago