Linux-Kernel: Gefährliche Sicherheitslücke bleibt ein Jahr unentdeckt

Eine Schwachstelle im Netzwerkstack des Linux-Kernels blieb den Entwicklern mehr als ein Jahr verborgen. Hackern war sie jedoch bereits seit Mitte 2012 bekannt. Ein Exploit ist seitdem im Umlauf.

26. Februar 2013 um 08:42 Uhr / Jörg Thoma

79 Kommentare News folgen (öffnet im neuen Fenster)

Der Linux-Kernel ab Version 3.3 enthält eine gefährliche Sicherheitslücke. (Bild: Anniolek/CC BY 3.0) — Der Linux-Kernel ab Version 3.3 enthält eine gefährliche Sicherheitslücke. Bild: Anniolek/CC BY 3.0

Kernel-Entwickler Matthias Krause hat einen Patch eingereicht(öffnet im neuen Fenster) , der eine gefährliche Sicherheitslücke im Linux-Kernel schließt. Der Fehler ist in allen Linux-Versionen seit Kernel 3.3 enthalten, der Mitte Januar 2012 erschienen ist. Es gibt Hinweise darauf(öffnet im neuen Fenster) , dass Hackern der Exploit mindestens seit Mitte 2012 bekannt ist.

Die Sicherheitslücke ist im Netzwerkstack und ermöglicht einen Angriff eines normalen Benutzers, der sich Root-Rechte verschaffen kann. Der Fehler ist im Code der Datei net/core/sock_diag.c . Damit werden Informationen zwischen Prozessen in der Benutzerumgebung und dem Linux-Kernel ausgetauscht. Angreifer können ein speziell präpariertes Netzwerkpaket senden, das einen out-of-bound access auslöst und einen Zugriff mit einfachen Benutzerrechten auf den Kernel erlaubt.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft-365-Admin werden leicht gemacht

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop

zum Kurs

E-Learning: E-Mail Marketing Grundkurs für Selbstständige und Einsteiger (E-Learning)

zum Kurs

Der fehlerhafte Code wurde im Januar 2012 in Linux 3.3 übernommen und blieb seitdem von den Kernel-Entwicklern unentdeckt. Der russische Sicherheitsexperte Alexander Peslyak stöberte auf Pastebin ein Tar-Archiv auf, dessen Inhalt auf die Sicherheitslücke hinweist. Zwei der darin enthaltenen Dateien tragen einen Zeitstempel, der auf Mitte Juli 2012 datiert ist. Der in dem Archiv enthaltene Code erstellt eine 1 GByte große Datei im Arbeitsspeicher eines angegriffenen Rechners. Außerdem gibt es dort eine Beispieldatei, die Code im Speicher ausführt.

Inzwischen ist die Schwachstelle unter der CVE-Nummer 2013-1763 eingetragen. Bislang hat nur Fedora 18(öffnet im neuen Fenster) einen aktualisierten Linux-Kernel erhalten. Für Ubuntu 12.10 ist ein Patch bereits in Arbeit(öffnet im neuen Fenster) . Andere Distributionen dürften bei der Gefährlichkeit der Sicherheitslücke ebenfalls bald Aktualisierungen bereitstellen. Red Hat(öffnet im neuen Fenster) und Suse Linux Enterprise Server 11(öffnet im neuen Fenster) nutzen ältere Kernel-Versionen und sind von der Schwachstelle nicht betroffen.