Sicherheitslücke im nftables Teil des Linux-Kernel
Eine durch den Sicherheitsforscher Aaron Adams bekannt gewordene Lücke im Linux Kernel ermöglicht lokalen Benutzern root-Berechtigungen oder Code mit höheren Privilegien auszuführen. Eine detaillierte Fehleranalyse sowie ein Proof of Concept Exploit ist auf der OSS-Security Mailingliste zu finden. In der Common Vulnerabilities and Exposures Datenbank wird dieser Fehler unter der ID CVE-2022-1966 geführt. Eine Gewichtung der Kritikalität nach CVSS 3.x durch NIST steht derzeit noch aus.
Der Fehler kann auf den meisten Linux-Systemen mit aktivierter Kernel-Komponente nftables ausgenutzt werden. Ein Angreifer benötigt auf dem Zielsystem einen lokalen Benutzer und die Berechtigung nftables-Regeln zu erstellen, um die Lücke auszunutzen.
Mitigation
Für Distributionen, die noch keinen abgesicherten Kernel bereitstellen, empfehlen wir folgende Mitigation. Durch diese Maßnahme können Sie Ihre Systeme kurzfristig teilweise absichern, in dem unberechtigten Benutzern das Erstellen von nftables-Namespace-Regeln verboten wird. Dies kann im laufenden Betrieb erfolgen, benötigt keinen Reboot und ist. Falls die Funktion von Network Namespaces in nftables Regeln nicht benögit wird, kann diese Funktionalität für berechtigte Nutzer abgeschaltet werden:
$ echo kernel.unprivileged_userns_clone=0 | sudo tee -a /etc/sysctl.d/99-disable-unpriv-userns.conf
$ sudo sysctl -p /etc/sysctl.conf
Stand 2022-06-09, 10:30 Uhr: Derzeit gibt es bereits gepatchte Kernelpakete von einigen Distributionen. Wir erwarten, dass die übrigen Distributionen Updates im Laufe des Tages zur Verfügung stellen werden. Wir empfehlen diese, sobald verfügbar, einzuspielen und einen Reboot auszuführen, damit die Lücke nicht ausgenutzt werden kann. Sobald der Patch installiert ist, kann die Datei /etc/sysctl.d/99-disable-unpriv-userns.conf wieder entfernt werden.
Linux-Distributionen
Distribution | Link |
---|---|
Debian | https://security-tracker.debian.org/tracker/CVE-2022-1966 |
Ubuntu | https://ubuntu.com/security/CVE-2022-1966 |
Red Hat/CentOS/Rocky Linux/AlmaLinux | https://access.redhat.com/security/cve/cve-2022-1966 |
Arch Linux | https://security.archlinux.org/CVE-2022-1966 |
SLES/OpenSUSE (OpenSUSE 15.x = SLES 15 SPx) | https://www.suse.com/security/cve/CVE-2022-1966.html |