Sicherheitslücke im nftables Teil des Linux-Kernel
Eine durch den Sicherheitsforscher Aaron Adams bekannt gewordene Lücke im Linux Kernel ermöglicht lokalen Benutzern root-Berechtigungen oder Code mit höheren Privilegien auszuführen. Eine detaillierte Fehleranalyse sowie ein Proof of Concept Exploit ist auf der OSS-Security Mailingliste zu finden. In der Common Vulnerabilities and Exposures Datenbank wird dieser Fehler unter der ID CVE-2022-1966 geführt. Eine Gewichtung der Kritikalität nach CVSS 3.x durch NIST steht derzeit noch aus.
Der Fehler kann auf den meisten Linux-Systemen mit aktivierter Kernel-Komponente nftables ausgenutzt werden. Ein Angreifer benötigt auf dem Zielsystem einen lokalen Benutzer und die Berechtigung nftables-Regeln zu erstellen, um die Lücke auszunutzen.
Mitigation
Für Distributionen, die noch keinen abgesicherten Kernel bereitstellen, empfehlen wir folgende Mitigation. Durch diese Maßnahme können Sie Ihre Systeme kurzfristig teilweise absichern, in dem unberechtigten Benutzern das Erstellen von nftables-Namespace-Regeln verboten wird. Dies kann im laufenden Betrieb erfolgen, benötigt keinen Reboot und ist. Falls die Funktion von Network Namespaces in nftables Regeln nicht benögit wird, kann diese Funktionalität für berechtigte Nutzer abgeschaltet werden:
$ echo kernel.unprivileged_userns_clone=0 | sudo tee -a /etc/sysctl.d/99-disable-unpriv-userns.conf
$ sudo sysctl -p /etc/sysctl.conf
Stand 2022-06-09, 10:30 Uhr: Derzeit gibt es bereits gepatchte Kernelpakete von einigen Distributionen. Wir erwarten, dass die übrigen Distributionen Updates im Laufe des Tages zur Verfügung stellen werden. Wir empfehlen diese, sobald verfügbar, einzuspielen und einen Reboot auszuführen, damit die Lücke nicht ausgenutzt werden kann. Sobald der Patch installiert ist, kann die Datei /etc/sysctl.d/99-disable-unpriv-userns.conf wieder entfernt werden.
Linux-Distributionen
| Distribution | Link |
|---|---|
| Debian | https://security-tracker.debian.org/tracker/CVE-2022-1966 |
| Ubuntu | https://ubuntu.com/security/CVE-2022-1966 |
| Red Hat/CentOS/Rocky Linux/AlmaLinux | https://access.redhat.com/security/cve/cve-2022-1966 |
| Arch Linux | https://security.archlinux.org/CVE-2022-1966 |
| SLES/OpenSUSE (OpenSUSE 15.x = SLES 15 SPx) | https://www.suse.com/security/cve/CVE-2022-1966.html |
In der Software ’sudo‘, die auf fast jedem System installiert ist, um Nutzern begrenzte root-Nutzer-Privilegien zu gewähren, wurde eine schwerwiegende Sicherheitslücke entdeckt. Dieser Lücke (mit dem Namen ‚Baron Samedit‘) wurde die CVE-Nummer CVE-2021-3156 zugewiesen. Durch eine Änderung im Quellcode wurde dieser Fehler bereits 2011 in sudo eingebaut und betrifft damit auch ältere Betriebssystem-Versionen.
Details zur Sicherheitslücke
Dieser Heap-based buffer overflow erlaubt es selbst Nutzern, die nicht im sudoers-File stehen, unter bestimmten Bedingungen Administrator-Privilegien zu erlangen. Ausführlich beschrieben wird diese Lücke auf der OSS-Mailingliste.
Die Software-Entwickler von sudo haben am 26. Januar 2021 die Version 1.9.5p2 herausgegeben, die diesen Fehler behebt. Die meisten Software-Distributionen haben hierfür bereits Update-Pakete zur Verfügung gestellt.
Unterstützung
Wir empfehlen Ihnen, Ihre jeweiligen Betriebssysstem-Distributionen zu aktualisieren und entsprechende Updates einzuspielen, wenn Sie sudo auf Ihren Systemen installiert haben.
Wenn sie hierbei Unterstützung benötigen, steht Ihnen das Open Source Support Center der credativ GmbH gerne zur Verfügung. Kontaktieren sie uns noch heute.