• IT-Karriere:
  • Services:

Linux: Keine Eile beim Schließen einer Kernel-Sicherheitslücke

Mit einem Buffer Overflow im Linux-Kernel lässt sich ein System durch lokale Nutzer zum Absturz bringen, eine Rechteausweitung ist wohl möglich.

Artikel veröffentlicht am ,
Eine relativ kritische Lücke im Linux-Kernel - und niemand stellt Updates bereit.
Eine relativ kritische Lücke im Linux-Kernel - und niemand stellt Updates bereit. (Bild: Tux: Larry Ewing/Effekt pho.to)

Or Cohen, ein Mitarbeiter der Firma Palo Alto Networks, hat einen Buffer Overflow im Netzwerk-Code des Linux-Kernels gefunden. Die Lücke lässt sich durch einen lokalen Nutzer angreifen, der Entdecker geht davon aus, dass man sich damit als normaler Nutzer Root-Rechte verschaffen kann. Weder in der aktuellen stabilen Version des Linux-Kernels noch in den gängigen Linux-Distributionen wurde bisher ein Fix für den Bug eingepflegt.

Stellenmarkt
  1. msg DAVID GmbH, Braunschweig
  2. Hays AG, Bonn

Cohen hat die Sicherheitslücke am vergangenen Donnerstag auf der Mailingliste oss-security bekanntgegeben. Nach eigenen Angaben hatte Cohen einen Tag vorher bereits das Kernel-Sicherheitsteam und die nichtöffentliche Sicherheitsmailingliste der Linux-Distributionen (linux-distros) informiert. Neben einem Patch hat Cohen auch einen Beispiel-Exploit mitgeliefert, der allerdings nur zu einem Absturz führt. An einem Exploit, mit dem man Root-Rechte erlangen kann, arbeitet Palo Alto Networks nach Angaben von Cohen.

Bug in gängigen Standard-Setups angreifbar

Um den Fehler auszunutzen, muss die Namespace-Funktion des Kernels für Benutzer aktiviert sein. Das ist in den gängigen Linux-Distributionen standardmäßig der Fall. In einem Ubuntu-System, auf dem alle Updates installiert waren, konnten wir den Fehler reproduzieren. Mit einem gewöhnlichen Benutzeraccount kann man das System zum Absturz bringen. Das alleine dürfte in vielen Fällen schon genügen, um in Setups, in denen viele Nutzer auf ein System Zugriff haben, Chaos anzurichten.

Bei dem Bug handelt es sich um einen Integer Overflow bei der Berechnung der Größe eines Speicherbereichs. Später wird auf diesen Speicher schreibend zugegriffen, dadurch kommt es zu einem Buffer Overflow, ein Nutzer kann dabei Kernel-Speicher mit Inhalten überschreiben. Die Lücke wird unter der Kennung CVE-2020-14386 geführt.

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    19./20. April 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    3./4. Mai 2021, online
Weitere IT-Trainings

Bemerkenswert ist, dass offenbar niemand besondere Eile hat, das Problem zu beheben. Linus Torvalds hat am 5. September 2020, zwei Tage nach der Veröffentlichung der Sicherheitslücke, eine neue, stabile Kernelversion (5.8.7) veröffentlicht. Den Fix für diese Lücke enthält dieser Kernel noch nicht. Eingepflegt wurde der Patch bisher nur in den Netdev-Branch des Kernels.

Distributionen haben noch keine Updates bereitgestellt

Auch bei den Linux-Distributionen scheint man dieser Sicherheitslücke bislang keine große Priorität beizumessen. Egal ob Red Hat, Ubuntu oder Debian - zum Zeitpunkt der Entstehung dieses Artikels hatte keine der gängigen Distributionen ein Update bereitgestellt. Die entsprechende Webseite von Suse, auf der man prüfen kann, ob für diese Sicherheitslücke bereits Updates bereitstehen, zeigt zurzeit nur eine Fehlermeldung ("504 Gateway Time-out") an.

Im Linux-Kernel wird generell eine sehr große Zahl von Sicherheitslücken gefunden, was teilweise schlicht daran liegt, dass der Code sehr umfangreich ist und von sehr vielen Personen getestet wird. Anders als viele andere Projekte geben die Kernel-Entwickler keine Sicherheitsadvisories heraus und es werden häufig keine CVE-Ids für Lücken beantragt. Dieses Vorgehen wird häufig kritisiert, aber auch verteidigt. Viele Kernel-Entwickler sind der Ansicht, dass die gängigen Vorgehensweisen bei Sicherheitslücken für die Kernel-Entwicklung unpassend sind.

Zuletzt konnte ein Forscherteam zeigen, dass man anhand öffentlicher Daten relativ leicht herausfinden kann, ob es sich bei den in den Kernel eingepflegten Patches um Sicherheitsupdates handelt, die nicht öffentlich diskutiert wurden.

Auch wenn die Zahl der Lücken relativ groß ist, die meisten Kernel-Sicherheitslücken sind vergleichsweise unkritisch. Sie sind beispielsweise oft in Treibern und können häufig nur unter sehr bestimmten Umständen ausgenutzt werden. Bemerkenswert an dieser aktuellen Lücke ist vor allem, dass sie in fast allen gängigen Setups funktioniert und dass bereits ein Exploit, mit dem sich begrenzt Schaden anrichten lässt, verfügbar ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)

ultim 08. Sep 2020

Zitat vom Artikel: "Cohen hat die Sicherheitslücke am vergangenen Donnerstag auf der...

bombinho 08. Sep 2020

Das zaehlt aber eher zum Braten oder Frittieren, wenn das Olivenoel am kochen ist. ;)

honk 08. Sep 2020

Das habe ich beim lesen auch gedacht. Sicherheit hin oder her, etwas testen muss man so...

charlemagne 08. Sep 2020

An update that solves one vulnerability and has 6 fixes is now available. https...

codinger 08. Sep 2020

The birth of a hot fix? Das ist glaube ich das was man bekommt wenn man es später...


Folgen Sie uns
       


Gopro Hero 9 Black - Test

Ist eine Kamera mit zwei Displays auch doppelt so gut?

Gopro Hero 9 Black - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /