Alert!

Ubuntu-Server: Root-Lücke durch needrestart-Komponente

IT-Sicherheitsforscher haben gleich fünf Root-Lücken in der needrestart-Komponente von Ubuntu-Servern entdeckt.

40

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

21.11.2024, 14:50 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Seit Ubuntu 21.04 bringen Ubuntu-Server standardmäßig eine installierte Komponente Namens "needrestart" mit. IT-Sicherheitsforscher haben darin nun fünf Sicherheitslücken aufgespürt, durch die Angreifer ihre Rechte auf "root"-Zugriff ausweiten können.

In ihrer Analyse schreiben die IT-Forscher von Qualys, dass in Versionen vor 3.8 von needrestart lokale Angreifer beliebigen Code als root ausführen können. Durch Manipulation einer Umgebungsvariable (PYTHONPATH oder RUBYLIB), die Python- und Ruby-Interpreter beeinflussen, können sie ungefiltert Daten an eine Bibliothek durchreichen, die sicheren Input erwartet, und so beliebige Shell-Befehle ausführen (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-11003, alle im needrestart-Paket mit CVSS 7.8, Risiko "hoch" sowie CVE-2024-10224 im Paket libmodule-scandeps-perl mit CVSS 5.3 und Risiko "mittel").

needrestart-Updates verfügbar

Die Version 3.8 von needrestart steht bereit und schließt die Sicherheitslücken. Die Software scannt das System und analysiert, ob ein Neustart für das System oder Dienste nötig sind. Sofern etwa Dienste veraltete Bibliotheken nutzen, markiert needrestart sie, was häufig nach Paketaktualisierungen der Fall ist, erörtert Qualys. Auf dem Ubuntu-Server ist es vorinstalliert und läuft automatisch nach APT-Aktionen wie Installationen, Upgrades oder der Entfernung von Software. Angreifer können dadurch ihre Rechte ausweiten und beliebigen Code ausführen, wenn Paketinstallationen oder Upgrades laufen, wodurch das System kompromittiert wird.

Neben der Aktualisierung von needrestart lässt sich das Problem etwa dadurch unterbinden, dass in der Konfigurationsdatei von needrestart (in der Regel /etc/needrestart/needrestart.conf) die Interpreter-Heuristik deaktiviert wird. Dort muss dazu die Option $nrconf{interpscan} = 0; gesetzt werden.

Canonical hat inzwischen für die betroffenen Ubuntu-Releases aktualisierte libmodule-scandeps-perl- und needrestart-Pakete veröffentlicht. Um zu prüfen, ob die eigenen Maschinen verwundbar sind, hilft die Ausgabe des Befehls sudo apt list --installed | grep "^$needrestart\|libmodule-scandeps-perl$". Die Aktualisierung der verwundbaren Pakete erledigt die Befehlskette sudo apt update && sudo apt install --only-upgrade needrestart libmodule-scandeps-perl.