Linux: Sicherheitslücke erlaubt Rechteausweitung, Exploit angekündigt
Im Linux-Kernel schlummert eine Sicherheitslücke, durch die Nutzer ihre Rechte im System ausweiten können. Der Entdecker kündigt Exploit-Code für Ende Juli an.
(Bild: heise online)
Eine Sicherheitslücke im 6er-Zweig des Linux-Kernels ermöglicht Angreifern, ihre Rechte im System auszuweiten. Der Entdecker der Lücke will Ende Juli Exploit-Code und eine detaillierte Erläuterung liefern. IT-Verantwortliche sollten daher verfügbare Kernel-Updates zügig installieren.
Die Schwachstelle hat einen Codenamen erhalten, der Entdecker nennt sie "StackRot". Das Handling von Stack-Expansion im Linux-Kernel 6.1 bis 6.4 ist demnach fehlerhaft. Für die Verwaltung von virtuellen Speicherbereichen ist jetzt ein Maple-Tree verantwortlich, der zuvor dafür genutzte Red-Black-Trees in den älteren Linux-Kerneln ersetzt. Dieser tausche Knoten aus, ohne zuvor einen Write-Lock in der Speicherverwaltung anzufordern. Dies führt zu Use-after-free-Situationen, bei denen bereits freigegebene Speicherbereiche erneut zugegriffen werden: Deren Inhalt ist undefiniert und kann oftmals zum Ausführen von eingeschleustem Code missbraucht werden. In diesem Fall mit erhöhten Rechten im System (CVE-2023-3269).
Linux-Lücke: Distributionen verteilen aktualisierte Kernel
Red Hat setzt die Kernel-Versionen nicht ein, schätzt das Risiko jedoch auf einen CVSS-Wert von 7.8 ein, somit als hochriskant. Amazon kommt auf denselben Bedrohungsgrad und empfiehlt, den Amazon Linux-Kernel mit dem Befehl dnf update kernel --releasever 2023.1.20230705 auf einen fehlerbereinigten Stand zu bringen – die Variable releasever dürfte mit der Zeit veralten, ist aber derzeit aktuell. Debian Bookworm und Unstable (trixie) sind laut der Entwickler ebenfalls verwundbar.
Der Entdecker hat die Lücke am 15. Juni dem Linux-Kernel-Security-Team gemeldet. Linus Torvalds selbst habe den Prozess zur Behebung des Fehlers geleitet. Da es ein komplexeres Problem sei, habe die Korrektur fast zwei Wochen benötigt. Am 28. Juni wurde der Fix in den Kernel 6.5 gemerged. Im Anschluss erfolgten Rückportierungen in die Versionen 6.1.37, 6.3.11 sowie 6.4.1. Damit sei StackRot seit dem 1. Juli Geschichte.
Linux-Administratoren und -Nutzer sollten die Softwareverwaltung ihres Systems starten und nach Aktualisierungen suchen lassen. Es empfiehlt sich, den korrigierten Linux-Kernel zügig zu installieren.
Vor knapp zwei Wochen erschien der Linux-Kernel 6.4. Er ergänzt unter anderem Unterstützung für Apples Silicon M2.
(dmk)
