Software::Kernel
Lücke im Kernel erlaubt Rechteausweitung
Das israelische Sicherheitslabor Perception Point hat eine Lücke im Linux-Kernel publiziert, die alle Versionen seit Kernel 3.8 aus dem Jahr 2012 betrifft.
Die Lücke mit der Kennung CVE-2016-0728, für die das Unternehmen einen Proof of Concept vorgelegt hat, erlaubt eine lokale Rechteausweitung für einen bereits angemeldeten Angreifer, der damit Root-Rechte erhalten kann. Die Lücke besteht im Schlüsselbund des Kernels, der Anwendungen die Verwaltung von Login-Informationen, Kryptoschlüsseln und Zertifikaten erlaubt.
Perception Point, die die Lücke entdeckten, arbeiteten mit dem Sicherheitsteam des Kernels und Entwicklern von Red Hat an einem im Endeffekt sehr simplen Patch, der eigentlich nur aus der Zeile key_put(keyring); besteht und seit gestern bereits in einigen Distributionskerneln bereits Anwendung findet.
Die Lücke entsteht durch einen Integer-Überlauf im Schlüsselbund des Kernels, der ausgenutzt werden kann um eine Use-After-Free-Verwundbarkeit herbeizuführen, durch die es möglich ist, freigegebenen Speicher zum Einspeisen und Ausführen beliebigen Codes zu nutzen. Etwas entschärft wird die Lücke durch die Tatsache, dass der Angreifer bereits lokal am System angemeldet sein muss und das der Angriff erst nach rund 30 Minuten zum Erfolg führt.
Das gilt allerdings weniger für die neben Millionen Linux-Servern ebenfalls betroffenen geschätzten zwei Drittel aller Android-Geräte. Hier ist der direkte Zugriff leichter und die Update-Frequenz niedriger als bei den gemeinhin recht aktuellen Linux-Distributionen.
Weiterhin abgeschwächt oder gar verhindert werden kann die Lücke durch Intel-CPUs mit den Instruction-Set-Erweiterungen SMEP und SMAP sowie SELinux auf Android. In diesem Zusammenhang wird auch wieder ein Ansatz diskutiert, der die Lücke vermutlich verhindert hätte. Der PAX_REFCOUNT-Patch, der Speicherbereiche vor solchen Integer-Überläufen schützt und seit Monaten im Rahmen des Kernel Self Protection Project (KSPP) des Kernel-Entwicklers Kees Cook diskutiert wird, ist aber noch nicht für den Kernel umgesetzt.
Anwender sollten dringend ihren Kernel sobald als möglich aktualisieren. Red Hat, Arch, Suse, Debian und Ubuntu und haben bereits gepatchte Kernel in ihren Repositorien.
