zurück zum Artikel

Linux: Sicherheitslücke erlaubt Rechteausweitung, Exploit angekündigt

Dirk Knop

(Bild: heise online)

Im Linux-Kernel schlummert eine Sicherheitslücke, durch die Nutzer ihre Rechte im System ausweiten können. Der Entdecker kündigt Exploit-Code für Ende Juli an.

Eine Sicherheitslücke im 6er-Zweig des Linux-Kernels ermöglicht Angreifern, ihre Rechte im System auszuweiten. Der Entdecker der Lücke will Ende Juli Exploit-Code und eine detaillierte Erläuterung liefern. IT-Verantwortliche sollten daher verfügbare Kernel-Updates zügig installieren.

Die Schwachstelle hat einen Codenamen erhalten, der Entdecker nennt sie "StackRot" [1]. Das Handling von Stack-Expansion im Linux-Kernel 6.1 bis 6.4 ist demnach fehlerhaft. Für die Verwaltung von virtuellen Speicherbereichen ist jetzt ein Maple-Tree verantwortlich, der zuvor dafür genutzte Red-Black-Trees in den älteren Linux-Kerneln ersetzt. Dieser tausche Knoten aus, ohne zuvor einen Write-Lock in der Speicherverwaltung anzufordern. Dies führt zu Use-after-free-Situationen, bei denen bereits freigegebene Speicherbereiche erneut zugegriffen werden: Deren Inhalt ist undefiniert und kann oftmals zum Ausführen von eingeschleustem Code missbraucht werden. In diesem Fall mit erhöhten Rechten im System (CVE-2023-3269).

Red Hat setzt die Kernel-Versionen nicht ein, schätzt das Risiko [2] jedoch auf einen CVSS-Wert von 7.8 ein, somit als hochriskant. Amazon kommt auf denselben Bedrohungsgrad [3] und empfiehlt, den Amazon Linux-Kernel mit dem Befeh [4]l dnf update kernel --releasever 2023.1.20230705 auf einen fehlerbereinigten Stand zu bringen – die Variable releasever dürfte mit der Zeit veralten, ist aber derzeit aktuell. Debian Bookworm und Unstable (trixie) sind laut der Entwickler ebenfalls verwundbar [5].

Der Entdecker hat die Lücke am 15. Juni dem Linux-Kernel-Security-Team gemeldet. Linus Torvalds selbst habe den Prozess zur Behebung des Fehlers geleitet. Da es ein komplexeres Problem sei, habe die Korrektur fast zwei Wochen benötigt. Am 28. Juni wurde der Fix in den Kernel 6.5 gemerged. Im Anschluss erfolgten Rückportierungen in die Versionen 6.1.37, 6.3.11 sowie 6.4.1. Damit sei StackRot seit dem 1. Juli Geschichte.

Linux-Administratoren und -Nutzer sollten die Softwareverwaltung ihres Systems starten und nach Aktualisierungen suchen lassen. Es empfiehlt sich, den korrigierten Linux-Kernel zügig zu installieren.

Vor knapp zwei Wochen erschien der Linux-Kernel 6.4 [6]. Er ergänzt unter anderem Unterstützung für Apples Silicon M2.

Mehr von heise Security Mehr von heise Security [7]

(dmk [8])


URL dieses Artikels:
https://www.heise.de/-9209878

Links in diesem Artikel:
[1] https://github.com/lrh2000/StackRot
[2] https://access.redhat.com/security/cve/cve-2023-3269
[3] https://alas.aws.amazon.com/cve/html/CVE-2023-3269.html
[4] https://alas.aws.amazon.com/AL2023/ALAS-2023-234.html
[5] https://security-tracker.debian.org/tracker/CVE-2023-3269
[6] https://www.heise.de/news/Linux-6-4-mit-fruehem-Support-fuer-Apple-M2-erschienen-9200498.html
[7] https://www.heise.de/security
[8] mailto:dmk@heise.de