Zero-Day-Lücke betrifft nahezu alle Linux- und BSD-Distributionen

Der Sicherheitsforscher Narendra Shinde hat eine Schwachstelle im X.Org-Server-Paket entdeckt, die eine nicht autorisierte Ausweitung von Nutzerrechten erlaubt. Ein Angreifer mit eingeschränkten Nutzerrechten kann unter Umständen überall im System Dateien erstellen oder überschreiben, selbst wenn dafür eigentlich höhere Benutzerrechte erforderlich sind. Die angreifbare Option „-logfile“ wurde demnach bereits 2016 eingeführt.

Allerdings benötigt ein Hacker eine aktive Konsolensitzung, um den Fehler für seine Zwecke missbrauchen zu können. Die Schwachstelle lässt sich jedoch mit anderen Anfälligkeiten verknüpfen, die von sich aus keine Rechteausweitung ermöglichen. So könnte ein Angreifer ein betroffenes System vollständig kompromittieren.

Der Fehler ist auch als schwerwiegend einzustufen, weil das X.Org-Server-Paket in der Linux- und BSD-Welt sehr weit verbreitet ist. Unter anderem setzten die Desktop-Umgebungen KDE und Gnome auf X.Org Server. Die Technik kommt aber auch bei anderen Linux- und BSD-Distributionen zum Einsatz, die eine Fenster-basierte Oberfläche haben.

Laut einem Blogeintrag von Narendra Shinde werden insgesamt zwei Befehlszeilenparameter nicht korrekt verarbeitet. Ein Angreifer kann mit ihrer Hilfe eigenen Code einschleusen und ausführen. Allerdings kann der Bug nur ausgenutzt werden, wenn X.Org Server so konfiguriert wurde, dass Code mit Root-Rechten ausgeführt wird – was bei vielen Distributionen ab Werk der Fall ist.

Die Entwickler der X.Org Foundation haben bereits einen Fix entwickelt, der Bestandteil des seit gestern verfügbaren Updates auf X.Org Server 1.20.3 ist. Das Update deaktiviert die fraglichen Befehlszeilenparameter, falls X.Org Server mit Root-Rechten läuft.

Unter anderem sind die Distributionen Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu und OpenBSD angreifbar. Die Anbieter der Distributionen sollten die verfügbaren Patches in Kürze an ihre Nutzer ausliefern. Da inzwischen auch ein Proof-of-Concept zur Verfügung steht, sollten Betroffene die Updates so schnell wie möglich installieren. „Ein Angreifer kann tatsächlich ein anfälliges System mit drei Befehlen oder weniger übernehmen“, twitterte Matthew Hickey, Chef des britischen Cybersicherheitsfirma Hacker House, die den Proof-of-Concept entwickelt hat.