openSuse-Kernel auf 1&1-Root-Servern möglicherweise veraltet
Betreiber eines Root-Servers bei 1&1 sollten den Versionsstand ihres Linux-Kernels überprüfen, sofern als Distribution openSuse 11 installiert ist. Da der Kernel vom automatischen Yast-Update ausgenommen ist, könnte noch eine alte Version mit zahlreichen Sicherheitslücken laufen.
- Daniel Bachfeld
Betreiber eines Root-Servers bei 1&1 sollten den Versionsstand ihres Linux-Kernel überprüfen, sofern als Distribution openSuse 11 installiert ist. 1&1 installiert dort nämlich einen selbstgebackenen Kernel, um sicherzustellen, dass die angebotene Hardwarekonfiguration vollständig unterstützt wird. Leider ist der Kernel von der YAST-Autoupdate-Funktion ausgenommen, sodass trotz regelmäßig durchgeführter Updates mitunter ein mehrere Monate alter Kernel (2.6.27.21) sein Werk verrichtet – und damit mittlerweile für diverse Root-Exploits via Null-Pointer-Dereferences (NPD) und andere Schwachstellen anfällig ist. Anwender, die auf das Autoupdate vertrauen, könnten also eine Überraschung erleben.
Auf das Problem war der IT-Dienstleister Markus Manzke bei der Zusammenstellung einer Linux-Distributionsübersicht und den darin enthaltenen Null-Pointer-Dereference-Fehlern gestoßen. Mit einem ungepatchten Kernel wird aufgrund der verfügbaren Exploits jede Sicherheitslücke in anderen Anwendungen wie Webservern, PHP-Anwendungen und anderen Netzdiensten potenziell ein Lücke, die sich zum Kompromittieren des gesamten Systems ausnutzen lässt, schreibt Manzke in seinem Bericht zu dem Problem. Und gerade bei openSuse 11.0 sei die Systemvariable mmap_min_addr, die NPD-Exploits unwirksam machen kann, auf den Wert 0 gesetzt.
Laut 1&1 tragen Root-Server-Kunden die alleinige Verantwortung für die Adminstration ihres Servers. Man stelle nur sicher, dass die Root-Server bei der Auslieferung auf dem neuesten Stand der Technik und der Sicherheit seien, erklärte Thomas Plünnecke, Pressesprecher von 1&1. Nach der Auslieferung sei es Aufgabe des Kunden, sich um die regelmäßige Aktualisierung des Systems zu kümmern. Leider lässt sich in der openSuse-Konfiguration die YAST-Autoupdate-Funktion nicht für die Aktualisierung des Kernels nutzen. "Da sich unser Root-Server-Angebot an professionelle Anwender richtet, ist davon auszugehen, dass diese auch im Umgang mit Kernel-Updates vertraut sind. Entsprechende Download-Möglichkeiten stellen wir ihnen zur Verfügung", meinte Plünnecke in einer Stellungnahme gegenüber heise Security.
Dennoch wolle man die Kritik zum Anlass nehmen, die Dokumentationen zu überarbeiten und deutlicher auf den Sonderfall bei openSuse 11 sowie auf den Fundort für aktuelle Kernel-Dateien hinweisen. Um einen aktuellen Kernel zu installieren, müssen Betreiber eines Servers die Kernel-Quellen herunterladen, übersetzen und das Kernelimage installieren. Eine Anleitung dafür hält 1&1 im Hilfe-Center bereit.
Siehe dazu auch:
- LĂĽcke im Linux-Kernel erlaubt Root-Zugriff
- Kritische LĂĽcke im Linux-Kernel betrifft alle Versionen seit 2001
- Root-Exploit für Linux-Kernel veröffentlicht
(dab)