Schwerwiegende Sicherheitslücke im Linux-Kernel

Die Zero Day Initiative (ZDI) hat eine neue Sicherheitslücke im Linux-Kernel bekannt gegeben. Diese Lücke ermöglicht es authentifizierten Remote-Benutzern, sensible Informationen preiszugeben und Code auf anfälligen Linux-Kernel-Versionen auszuführen.

Das ZDI bewertete die Sicherheitslücke mit einer perfekten 10 auf der CVSS-Skala (Common Vulnerability Scoring System) von 0 bis 10.

Das Problem liegt im Linux 5.15 In-Kernel Server Message Block (SMB) Server, ksmbd. Die spezifische Schwachstelle besteht in der Verarbeitung von SMB2_TREE_DISCONNECT-Befehlen. Das Problem resultiert aus der fehlenden Validierung der Existenz eines Objekts vor der Durchführung von Operationen mit dem Objekt. Ein Angreifer kann diese Schwachstelle ausnutzen, um Code im Kernelkontext auszuführen.

Dieses neue Programm, das im Jahr 2021 in den Kernel aufgenommen wurde, wurde von Samsung entwickelt. Sein Ziel war es, eine schnelle SMB3-Dateiverwaltungsleistung zu bieten. SMB wird unter Windows in Linux über Samba als wichtiges Dateiserverprotokoll verwendet. Ksmbd ist nicht als Ersatz für Samba gedacht, sondern soll es ergänzen. Die Entwickler von Samba und ksmbd arbeiten daran, dass die Programme zusammenarbeiten.

Jeremy Allison, der Miterfinder von Samba, merkt dazu an: „ksmbd hat keinen gemeinsamen Code mit dem Produktions-Samba. Es ist komplett von Grund auf neu. Die aktuelle Situation hat also nichts mit dem Samba-Dateiserver zu tun, den Sie vielleicht auf Ihren Systemen einsetzen.

Alle Distributionen, die den Linux-Kernel 5.15 oder höher verwenden, sind potenziell anfällig. Dazu gehören Ubuntu 22.04 und seine Nachfolger sowie Deepin Linux 20.3. Für Serverzwecke ist Ubuntu am bedenklichsten. Andere Unternehmensdistributionen, wie die Red Hat Enterprise Linux (RHEL)-Familie, verwenden den Kernel 5.15 nicht. Nicht sicher? Führen Sie einfach aus:

$ uname -r

um herauszufinden, welche Kernel-Version Sie verwenden.

Wenn Sie den anfälligen Kernel verwenden, führen Sie anschließend aus, ob das verwundbare Modul vorhanden und aktiv ist:

$ modinfo ksmb

Was Sie sehen wollen, ist, dass das Modul nicht gefunden wurde. Wenn es geladen ist, sollten Sie auf den Linux-Kernel 5.15.61 aktualisieren. Viele Distributionen haben leider noch nicht auf diese Kernelversion umgestellt.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago