Linux: Sicherheitslücke in glibc bringt Angreifern Root-Privilegien
Fast alle aktuellen Linux-Varianten sind von dem Sicherheitsleck betroffen, das Missetäter jedoch nicht aus der Ferne angreifen können. Updates stehen bereit.
(Bild: J0hnTV/Shutterstock.com)
Drei neue Lücken in der zentralen Linux-Bibliothek glibc beschäftigen derzeit die Entwickler und Distributoren des quelloffenen Betriebssystems. Über die Sicherheitslecks können Nutzer ihre eigenen Privilegien ausweiten und – nach einigen Versuchen – Code mit den Privilegien des Admin-Nutzers "root" ausführen. Die großen Linux-Distributionen haben bereits reagiert und aktualisierte Pakete veröffentlicht.
Wie die Entdecker von Qualys Labs berichten, stießen sie auf den Fehler in der Hilfsfunktion __vsyslog_internal(), die von Protokollierungs-Funktionen der glibc aufgerufen wird und offenbar seit August 2022 im Code der Bibliothek schlummerte. Ironischerweise entstand der Bug aufgrund einer Fehlerbehebung für ein anderes Sicherheitsproblem in derselben Funktion.
Das Problem, das die Forscher unter Debian 12 und 13, Ubuntu 23.04 und 23.10 sowie Fedora 37 bis 39 nachvollziehen konnten, basiert auf einem Pufferüberlauf und ist mit einiger Bastelei zur Ausführung eigener Kommandos als "root" nutzbar. Zum Glück, so schreiben die Experten, ist die Sicherheitslücke nicht aus der Ferne ausnutzbar; ein lokales Benutzerkonto ist notwendige Vorbedingung.
Diese Bedingung beeinflusst auch die Risikobewertung für CVE-2023-6246, die ein hohes Risiko ergibt. Zwar ist kein offizieller CVSS-Wert bekannt, mit den bekannten Details ergibt sich jedoch ein Punktwert von 7,8/10 (CVSS-Vektor: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H/E:F/RL:O/RC:C).
Verwundbarkeit testen mit 128.000 Nullen
Mit einem Bash-Einzeiler können Admins testen, ob ihr System noch betroffen oder bereits repariert ist. Wie bei jedem "Proof of Concept" ist jedoch Vorsicht geboten: Nicht immer sind unerwünschte Nebenwirkungen ausgeschlossen.
(exec -a "`printf '%0128000x' 1`" /usr/bin/su < /dev/null)
Nach Eingabe dieser Zeile als normaler Benutzer auf einem verwundbaren System erscheint kurz die su-typische Passwortabfrage und dann unvermittelt die Meldung "Segmentation fault (core dumped)".
Die großen Linux-Distributionen Debian und Fedora haben mit eigenen Sicherheitshinweisen reagiert und aktualisierte glibc-Pakete bereitgestellt. Diese beheben in der Regel auch zwei kleinere Sicherheitslücken in der glibc, welche die CVE-IDs CVE-2023-6779 und CVE-2023-6780 tragen. Von Ubuntu ist bis dato noch kein aktuelles Paket erschienen, eine tagesaktuelle virtuelle Maschine in der heise-security-Redaktion ist noch verwundbar.
Die Linux-Bibliothek glibc gilt neben dem Kernel als eines der zentralen Elemente des Betriebssystems, was Sicherheitslücken eine große Bedeutung gibt. So hatte Qualys im vergangenen Jahr die "Looney Tunables" entdeckt, die ebenfalls die Ausweitung der Rechte eines lokalen Nutzers ermöglichten.
(cku)
