Stackrot: Kernel-Schwachstelle ermöglicht Rechteausweitung unter Linux

Durch eine Sicherheitslücke im Speichermanagement-Subsystem des Linux-Kernels können Angreifer potenziell erweiterte Rechte erlangen.

Artikel veröffentlicht am , Marc Stöckel
Viele Serversysteme setzen auf Linux-basierte Betriebssysteme.
Viele Serversysteme setzen auf Linux-basierte Betriebssysteme. (Bild: Dean Mouhtaropoulos/Getty Images)

Der Sicherheitsforscher Ruihan Li hat eine neue Schwachstelle entdeckt, die Auswirkungen auf mehrere Versionen des Linux-Kernels hat. Die als Stackrot bezeichnete Sicherheitslücke mit der Kennung CVE-2023-3269 lässt sich ihm zufolge ausnutzen, um mit "minimalen Fähigkeiten" auf einem Linux-System den Kernel zu kompromittieren und auf Grundlage eines sogenannten Use-After-Free-Bugs erweiterte Rechte zu erlangen.

Wie der Forscher auf Github erklärte, bezieht sich die Lücke auf das Speichermanagement-Subsystem des Linux-Kernels. Ursache ist demnach ein Fehler in der Zuteilung virtueller Speicherbereiche (VMA) durch den sogenannten Maple-Tree, der auf einem RCU-Algorithmus (Read-Copy-Update) basiert. Dieser kann seine in Knoten organisierten Speicherbereiche ohne den ordnungsgemäßen Erwerb einer Schreibsperre ersetzen.

Bevor der alte Knoten tatsächlich gelöscht wird, räumt der RCU-Algorithmus aber eine Art Schonfrist ein. Während dieser Frist können Angreifer auf den zu löschenden Knoten und damit auf den Ausführungskontext derjenigen Anwendung zugreifen, der der jeweilige Speicherbereich zuvor zugewiesen war. Durch dieses Use-After-Free-Problem kann ein böswilliger Akteur seine Privilegien auf dem Linux-System ausweiten.

Ein Fix für Stackrot steht bereit

Stackrot wirkt sich Li zufolge auf fast alle Kernel-Konfigurationen der Linux-Versionen 6.1 bis 6.4 aus. Ältere Kernel sind grundsätzlich nicht betroffen, da der Maple-Tree-Algorithmus erst mit Version 6.1 Einzug in den Linux-Kernel fand.

Der Forscher meldete die Sicherheitslücke bereits am 15. Juni. Die Fehlerbehebung wurde daraufhin vom bekannten Kernel-Entwickler Linus Torvalds geleitet. "Angesichts der Komplexität des Fehlers dauerte es fast zwei Wochen, um eine Reihe von Patches zu entwickeln, die auf Zustimmung stießen", erklärte Li. Effektiv behoben war das Problem erst am 1. Juli mit der Bereitstellung der Kernel-Versionen 6.1.37, 6.3.11 und 6.4.1.

Wie Li betont, ist die Ausnutzung der Schwachstelle eine schwierige Aufgabe. Dass der Forscher Ende Juli die vollständigen technischen Details mitsamt eines Proof-of-Concept-Exploits zu Stackrot veröffentlichen möchte, dürfte potenziellen Angreifern diese Herausforderung jedoch wesentlich erleichtern.

Administratoren wird empfohlen, die jeweilige Kernel-Version ihrer Linux-Systeme zu prüfen und gegebenenfalls auf eine vor der Ausnutzung von CVE-2023-3269 geschützte Version zu aktualisieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
O.MG Cable im Test
Außen USB-Kabel, innen Hackertool
artikel-bild
Schadsoftware
Neue Linux-Malware spielt verstecken
artikel-bild
Security
Microsoft findet einfachen kritischen Fehler in ChromeOS
Meistgelesen
artikel-bild
Whistleblower
Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen
artikel-bild
Deutschland-Start vor 20 Jahren
Das Mysterium von Donnie Darko
artikel-bild
Schadstoffnorm 7
Neue Grenzwerte für Abrieb gelten auch für E-Autos
Kommentarübersicht
Re: Angriffsvektor
Horcrux7 08. Jul 2023

Da ist die Sicherheitslücke ja die Shell Execution übers Netzwerk. Bei sowas hast du eh...

Re: Wie muss ich diese Aussage...
gadthrawn 07. Jul 2023

Gerade das mit Performance ist ein blödes Argument. Abgesehen davon ... Das da gepatcht...

Hannemann geh Du voran ...
M.P. 06. Jul 2023

Manchmal ist es hilfreich, nicht zu früh auf ein neues Kernel zu setzen ... Proxmox: 5.15...

Aktuell auf der Startseite von Golem.de
Drohendes Einfuhrverbot
Apple stoppt Verkauf von Apple Watch Series 9 und Ultra 2

Apple kommt in den USA den Behörden zuvor und nimmt die Apple Watch Series 9 und Ultra 2 aus dem Handel. Hintergrund sind Patentstreitigkeiten.

Drohendes Einfuhrverbot: Apple stoppt Verkauf von Apple Watch Series 9 und Ultra 2
Artikel
  1. Leasing: Günstige E-Fahrzeuge für Geringverdiener in Frankreich
    Leasing
    Günstige E-Fahrzeuge für Geringverdiener in Frankreich

    Frankreich macht mit einem neuen Leasingprogramm einen Schritt in Richtung Elektroautos für untere Einkommensgruppen.

  2. Whistleblower: Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen
    Whistleblower
    Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen

    Wieder hat sich in den USA ein ehemals hochrangiger Militär und Beamter über Kontakte mit Aliens geäußert.

  3. Pole to Pole: Expedition mit Elektrofahrzeug erreicht den Südpol
    Pole to Pole
    Expedition mit Elektrofahrzeug erreicht den Südpol

    Nach rund 30.000 Kilometern quer durch Amerika und die Antarktis hat eine Elektroauto-Expedition den Südpol erreicht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Nur bis 9 Uhr: Magic Midnight Deals bei MediaMarkt • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /