Exploit für lokalen Linux-Kernel-Bug im Umlauf
Ein bereits im April im Entwickler-Kernel-Zweig gefixter Fehler wurde nicht als sicherheitsrelevant erkannt und lässt sich deshalb auf vielen Systemen immer noch ausnutzen.
Die Linux-Kernel-Entwickler haben bereits im April einen fehlerhaft deklarierten Zeiger im Linux-Kern korrigiert. Allerdings haben Sie dabei anscheinend die Security-Implikationen eines solchen Fehlers übersehen – also insbesondere, dass man mit einer passenden event_id Zugriff auf quasi beliebige Speicherbereiche erlangen kann. Erst nachdem ein Exploit veröffentlicht wurde, der beweist, dass sich damit ein angemeldeter, normaler Nutzer Root-Rechte verschaffen kann, kam die Maschinerie in Gang und der Bug gilt nun offiziell als Sicherheitslücke CVE-2013-2094.
Betroffen sind Kernel 2.6.37 bis 3.8.9, die mit der Option PERF_EVENTS übersetzt wurden; anscheinend trifft das bei vielen Distributionen zu. Welche genau das sind, werden die hoffentlich bald folgenden Security-Updates zeigen. Der ausgewiesene Linux-Security-Tro^H^H^HExperte Brad Spengler hat eine detaillierte Analyse des Exploits veröffentlicht.
Update 16.5.2013, 14:15:
Ubuntu stellt Updates für die Versionen 13.04, 12.10 und 12.04 LTS bereit. Allerdings warnen die Entwickler, dass insbesondere Kernel-Module von Dritt-Anbietern ebenfalls neu übersetzt und in einer zum neuen Kernel passenden Version installiert werden müssen.
Red Hat erklärt dass Red Hat Enterprise Linux (RHEL) 4 und 5 nicht betroffen sind; für RHEL 6 und Red Hat Enterprise MRG 2 soll es demnächst Updates geben. Bis dahin empfiehlt der Distributor das Problem durch Workarounds einzugrenzen.
Bei Debian sind die Versionen stable (Wheezy) und testing (Jessie) betroffen, nicht jedoch Debian unstable (Sid). Für Wheezy gibt es in den Security-Update-Repositories bereits eine fehlerbereinigte Version. (ju)
