Linux: Keine Eile beim Schließen einer Kernel-Sicherheitslücke

Mit einem Buffer Overflow im Linux-Kernel lässt sich ein System durch lokale Nutzer zum Absturz bringen, eine Rechteausweitung ist wohl möglich.

Artikel veröffentlicht am ,
Eine relativ kritische Lücke im Linux-Kernel - und niemand stellt Updates bereit.
Eine relativ kritische Lücke im Linux-Kernel - und niemand stellt Updates bereit. (Bild: Tux: Larry Ewing/Effekt pho.to)

Or Cohen, ein Mitarbeiter der Firma Palo Alto Networks, hat einen Buffer Overflow im Netzwerk-Code des Linux-Kernels gefunden. Die Lücke lässt sich durch einen lokalen Nutzer angreifen, der Entdecker geht davon aus, dass man sich damit als normaler Nutzer Root-Rechte verschaffen kann. Weder in der aktuellen stabilen Version des Linux-Kernels noch in den gängigen Linux-Distributionen wurde bisher ein Fix für den Bug eingepflegt.

Stellenmarkt
  1. IT-Leiter (m/w/d)
    Hays AG, Nürnberg
  2. Systemingenieur (m/w/d) Elektrotechnik / Nachrichtentechnik
    Amprion GmbH, Pulheim
Detailsuche

Cohen hat die Sicherheitslücke am vergangenen Donnerstag auf der Mailingliste oss-security bekanntgegeben. Nach eigenen Angaben hatte Cohen einen Tag vorher bereits das Kernel-Sicherheitsteam und die nichtöffentliche Sicherheitsmailingliste der Linux-Distributionen (linux-distros) informiert. Neben einem Patch hat Cohen auch einen Beispiel-Exploit mitgeliefert, der allerdings nur zu einem Absturz führt. An einem Exploit, mit dem man Root-Rechte erlangen kann, arbeitet Palo Alto Networks nach Angaben von Cohen.

Bug in gängigen Standard-Setups angreifbar

Um den Fehler auszunutzen, muss die Namespace-Funktion des Kernels für Benutzer aktiviert sein. Das ist in den gängigen Linux-Distributionen standardmäßig der Fall. In einem Ubuntu-System, auf dem alle Updates installiert waren, konnten wir den Fehler reproduzieren. Mit einem gewöhnlichen Benutzeraccount kann man das System zum Absturz bringen. Das alleine dürfte in vielen Fällen schon genügen, um in Setups, in denen viele Nutzer auf ein System Zugriff haben, Chaos anzurichten.

Bei dem Bug handelt es sich um einen Integer Overflow bei der Berechnung der Größe eines Speicherbereichs. Später wird auf diesen Speicher schreibend zugegriffen, dadurch kommt es zu einem Buffer Overflow, ein Nutzer kann dabei Kernel-Speicher mit Inhalten überschreiben. Die Lücke wird unter der Kennung CVE-2020-14386 geführt.

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
  2. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
Weitere IT-Trainings

Bemerkenswert ist, dass offenbar niemand besondere Eile hat, das Problem zu beheben. Linus Torvalds hat am 5. September 2020, zwei Tage nach der Veröffentlichung der Sicherheitslücke, eine neue, stabile Kernelversion (5.8.7) veröffentlicht. Den Fix für diese Lücke enthält dieser Kernel noch nicht. Eingepflegt wurde der Patch bisher nur in den Netdev-Branch des Kernels.

Distributionen haben noch keine Updates bereitgestellt

Auch bei den Linux-Distributionen scheint man dieser Sicherheitslücke bislang keine große Priorität beizumessen. Egal ob Red Hat, Ubuntu oder Debian - zum Zeitpunkt der Entstehung dieses Artikels hatte keine der gängigen Distributionen ein Update bereitgestellt. Die entsprechende Webseite von Suse, auf der man prüfen kann, ob für diese Sicherheitslücke bereits Updates bereitstehen, zeigt zurzeit nur eine Fehlermeldung ("504 Gateway Time-out") an.

Im Linux-Kernel wird generell eine sehr große Zahl von Sicherheitslücken gefunden, was teilweise schlicht daran liegt, dass der Code sehr umfangreich ist und von sehr vielen Personen getestet wird. Anders als viele andere Projekte geben die Kernel-Entwickler keine Sicherheitsadvisories heraus und es werden häufig keine CVE-Ids für Lücken beantragt. Dieses Vorgehen wird häufig kritisiert, aber auch verteidigt. Viele Kernel-Entwickler sind der Ansicht, dass die gängigen Vorgehensweisen bei Sicherheitslücken für die Kernel-Entwicklung unpassend sind.

Zuletzt konnte ein Forscherteam zeigen, dass man anhand öffentlicher Daten relativ leicht herausfinden kann, ob es sich bei den in den Kernel eingepflegten Patches um Sicherheitsupdates handelt, die nicht öffentlich diskutiert wurden.

Auch wenn die Zahl der Lücken relativ groß ist, die meisten Kernel-Sicherheitslücken sind vergleichsweise unkritisch. Sie sind beispielsweise oft in Treibern und können häufig nur unter sehr bestimmten Umständen ausgenutzt werden. Bemerkenswert an dieser aktuellen Lücke ist vor allem, dass sie in fast allen gängigen Setups funktioniert und dass bereits ein Exploit, mit dem sich begrenzt Schaden anrichten lässt, verfügbar ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ultim 08. Sep 2020

Zitat vom Artikel: "Cohen hat die Sicherheitslücke am vergangenen Donnerstag auf der...

bombinho 08. Sep 2020

Das zaehlt aber eher zum Braten oder Frittieren, wenn das Olivenoel am kochen ist. ;)

honk 08. Sep 2020

Das habe ich beim lesen auch gedacht. Sicherheit hin oder her, etwas testen muss man so...

charlemagne 08. Sep 2020

An update that solves one vulnerability and has 6 fixes is now available. https...

codinger 08. Sep 2020

The birth of a hot fix? Das ist glaube ich das was man bekommt wenn man es später...



Aktuell auf der Startseite von Golem.de
Chorus im Test
Action im All plus galaktische Grafik

Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
Von Peter Steinlechner

Chorus im Test: Action im All plus galaktische Grafik
Artikel
  1. Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
    Bald exklusiv bei Disney+
    Serien verschwinden aus Abos von Netflix und Prime Video

    Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
    Von Ingo Pakalski

  2. Mobilfunkexperte: Afghanischer Ex-Minister hat nach Lieferando einen neuen Job
    Mobilfunkexperte
    Afghanischer Ex-Minister hat nach Lieferando einen neuen Job

    Der frühere afghanische Kommunikationsminister Syed Sadaat arbeitet nicht mehr bei Lieferando in Leipzig. Nun wird er Partner bei einem Maskenhersteller.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /