Sicherheitslücken im Linux-Kernel entdeckt

Der Linux-Sicherheitsentwickler Alexander Popov von der russischen Firma Positive Technologies hat eine Reihe von fünf Sicherheitslücken in der Virtual-Socket-Implementierung des Linux-Kernels entdeckt und behoben. Ein Angreifer könnte diese Schwachstellen (CVE-2021-26708) nutzen, um Root-Zugriff zu erlangen und Server in einer Denial-of-Service-Attacke (DoS) außer Gefecht zu setzen.

Diese Schwachstelle hat einen Common Vulnerability Scoring System (CVSS) v3 Base Score von 7.0, also einen hohen Schweregrad. Deshalb sollten Linux-Administratoren ihre Systeme so schnell wie möglich patchen.

Während Popov die Fehler in Red Hats Community-Linux-Distribution Fedora 33 Server entdeckte, existieren sie in Systemen, die den Linux-Kernel von der Version 5.5 vom November 2019 bis zur aktuellen Mainline-Kernel-Version 5.11-rc6 verwenden.

Diese Sicherheitslücken entstanden in Linux, als die Unterstützung für den Multi-Transport von virtuellen Sockets hinzugefügt wurde. Dieser Netzwerktransport erleichtert die Kommunikation zwischen virtuellen Maschinen (VM) und ihrem Host.  Er wird üblicherweise von Gast-Agenten und Hypervisor-Diensten verwendet, die einen Kommunikationskanal benötigen, der unabhängig von der Netzwerkkonfiguration der VM ist. Daher sind Personen, die VMs in der Cloud betreiben, also praktisch alle, besonders anfällig.

Das Kernproblem sind Race Conditions in den Kernel-Treibern CONFIG_VSOCKETS und CONFIG_VIRTIO_VSOCKETS. Diese werden in allen größeren Linux-Distributionen als Kernel-Module ausgeliefert. Der Grund, warum dies ein so ernstes Problem ist, liegt darin, dass jedes Mal, wenn ein normaler Anwender einen AF_VSOCK-Socket erstellt, die anfälligen Module automatisch geladen werden.  Eine Race Condition liegt vor, wenn das wesentliche Verhalten eines Systems von der Abfolge oder dem Timing unkontrollierbarer Ereignisse abhängt.

Popov sagte: „Ich habe erfolgreich einen Prototyp eines Exploits für die lokale Privilegienerweiterung auf Fedora 33 Server entwickelt, der die Schutzmechanismen der x86_64-Plattform wie SMEP und SMAP umgeht. Diese Forschung wird zu neuen Ideen führen, wie man die Sicherheit des Linux-Kernels verbessern kann.“

In der Zwischenzeit hat Popov auch den Patch vorbereitet und die Schwachstellen dem Linux-Kernel-Sicherheitsteam offengelegt. Greg Kroah-Hartman, der Chef-Maintainer des stabilen Linux-Kernels, akzeptierte die Patches am 3. Februar in Linux 5.10.13. Seitdem wurde der Patch in die Mainline-Kernel-Version 5.11-rc7 eingebunden und in die betroffenen Stable-Trees zurückportiert.

Der Patch wurde auch bereits in beliebte Linux-Distributionen wie Red Hat Enterprise Linux (RHEL) 8, Debian, Ubuntu und SUSE integriert.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

15 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago