Fehler in nftables ermöglicht Rechteausweitung (CVE-2022-1966)
| Kategorien: | Aktuelles |
|---|---|
| Tags: | CVE Kernel Sicherheitslücke |
Sicherheitslücke im nftables Teil des Linux-Kernel
Eine durch den Sicherheitsforscher Aaron Adams bekannt gewordene Lücke im Linux Kernel ermöglicht lokalen Benutzern root-Berechtigungen oder Code mit höheren Privilegien auszuführen. Eine detaillierte Fehleranalyse sowie ein Proof of Concept Exploit ist auf der OSS-Security Mailingliste zu finden. In der Common Vulnerabilities and Exposures Datenbank wird dieser Fehler unter der ID CVE-2022-1966 geführt. Eine Gewichtung der Kritikalität nach CVSS 3.x durch NIST steht derzeit noch aus.
Der Fehler kann auf den meisten Linux-Systemen mit aktivierter Kernel-Komponente nftables ausgenutzt werden. Ein Angreifer benötigt auf dem Zielsystem einen lokalen Benutzer und die Berechtigung nftables-Regeln zu erstellen, um die Lücke auszunutzen.
Mitigation
Für Distributionen, die noch keinen abgesicherten Kernel bereitstellen, empfehlen wir folgende Mitigation. Durch diese Maßnahme können Sie Ihre Systeme kurzfristig teilweise absichern, in dem unberechtigten Benutzern das Erstellen von nftables-Namespace-Regeln verboten wird. Dies kann im laufenden Betrieb erfolgen, benötigt keinen Reboot und ist. Falls die Funktion von Network Namespaces in nftables Regeln nicht benögit wird, kann diese Funktionalität für berechtigte Nutzer abgeschaltet werden:
$ echo kernel.unprivileged_userns_clone=0 | sudo tee -a /etc/sysctl.d/99-disable-unpriv-userns.conf
$ sudo sysctl -p /etc/sysctl.conf
Stand 2022-06-09, 10:30 Uhr: Derzeit gibt es bereits gepatchte Kernelpakete von einigen Distributionen. Wir erwarten, dass die übrigen Distributionen Updates im Laufe des Tages zur Verfügung stellen werden. Wir empfehlen diese, sobald verfügbar, einzuspielen und einen Reboot auszuführen, damit die Lücke nicht ausgenutzt werden kann. Sobald der Patch installiert ist, kann die Datei /etc/sysctl.d/99-disable-unpriv-userns.conf wieder entfernt werden.
Linux-Distributionen
| Distribution | Link |
|---|---|
| Debian | https://security-tracker.debian.org/tracker/CVE-2022-1966 |
| Ubuntu | https://ubuntu.com/security/CVE-2022-1966 |
| Red Hat/CentOS/Rocky Linux/AlmaLinux | https://access.redhat.com/security/cve/cve-2022-1966 |
| Arch Linux | https://security.archlinux.org/CVE-2022-1966 |
| SLES/OpenSUSE (OpenSUSE 15.x = SLES 15 SPx) | https://www.suse.com/security/cve/CVE-2022-1966.html |
| Kategorien: | Aktuelles |
|---|---|
| Tags: | CVE Kernel Sicherheitslücke |
über den Autor
Martin Zobel-Helas
Technischer Leiter Betrieb
zur Person
Als einer der technischen Leiter unterstützt Martin Zobel-Helas unsere Kunden bei der Konzeption und Integration von Open Source Software in komplexen IT-Infrastrukturen. Martin arbeitet schon seit 2005 bei credativ und übernimmt dort ebenfalls die Rolle des Open Source-Beauftragten. Gleichzeitig ist er ein sehr bekanntes und geschätztes Mitglied der internationalen Debian Community. Seine langjährige Mitarbeit als Entwickler und Sysadmin des Debian-Projektes zeichnen Ihn genauso aus, wie seine Tätigkeit im Vorstand der gemeinnützigen Open Source Organisation „Software in the Public Interest, Inc.“.