Schwachstelle im Linux-Kernel nicht vollständig gepatcht

Die im November im Linux-Kernel veröffentlichten Schwachstellen des ELF-Binary-Loaders scheinen doch noch nicht vollständig beseitigt worden zu sein, obwohl die Distributoren entsprechende Updates herausgegeben hatten. Ein erster Hinweis dazu erschien gestern auf der Sicherheitsmailing-Liste Full Disclosure. Demnach sind nur vier der fünf von Paul Starzetz gefundenen Fehler durch Patches im Kernel wirklich beseitigt. Die in CAN-2004-1073 (open_exec()) beschriebene Lücke ist indes nur halbherzig geschlossen worden, sodass nur der Original-Exploit nicht mehr funktioniert. Allerdings genügen wenige Änderungen des Exploit-Codes, um sich normalerweise nicht lesbare ELF-Binarys auf Systemen mit den Kerneln 2.4.29 und 2.6.11 wieder anzeigen zu lassen.

Das bestätigt auch Martin Pitt vom Security-Team des Linux-Distributors Ubuntu. Sowohl auf einem gepatchtem Kernel 2.6.8.1 als auch mit 2.6.10 war es ihm mit einem modifizierten Proof-of-Concept-Exploit möglich, als eingeschränkter Nutzer nicht lesbare SUID-Binarys anzuzeigen. Offenbar haben die meisten Hersteller die vom Kernel-Entwickler Chris Wright auf bkbits.net vorgeschlagenen Patches adaptiert -- ohne jedoch nochmal einen genauen Blick darauf zu werfen.

Auch Marcus Meissner vom Suse-Security-Team erklärt auf Nachfrage von heise Security, dass man Wrights Patch übernommen habe und deshalb die Schwachstelle in ihrer Distribution immer noch ausnutzbar sei. Allerdings sehe man dies für die eigene Distribution nicht als so großes Problem an, da ohnehin unter Suse in der Standardeinstellung alle Setuid-Root-Binarys für jeden angemeldeten Nutzer einsehbar sind. Man werde aber einen Fix für den Fehler in einem zukünftigen Kernel-Update einbringen.

Siehe dazu auch: (dab)

• CAN-2004-1073 not fixed Fehlerreport auf Full Disclosure