Sicherheitslücke im Linux-Kernel

Sicherheit (Pexels, allgemeine Nutzung)[English]Im Kernel aller gängigen Linux-Distributionen gibt es eine Sicherheitslücke, die Forscher von SentinelLabs vor einigen Tagen öffentlich gemacht haben. Ein TIPC-Modul in allen gängigen Linux-Distributionen lässt sich durch Heap-Overflow-Angriffe ausnutzen, die zu einer Systemübernahme führen können. Angreifer können dadurch das gesamte System kompromittieren. Ein Patch steht aber für die meisten Distributionen zur Verfügung.


Anzeige

Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben eine Heap-Overflow-Schwachstelle im TIPC-Modul des Kernels von Linux-Betriebssystemen entdeckt. Die Sicherheitslücke kann entweder lokal oder remote innerhalb eines Netzwerks ausgenutzt werden, um Kernel-Privilegien zu erlangen. Das verwundbare TIPC-Modul ist in allen gängigen Linux-Distributionen enthalten, muss jedoch vom Nutzer geladen werden, um das Protokoll zu aktivieren.

Durch Ausnutzung der Schwachstelle können Angreifer das gesamte System kompromittieren, was zu schwerwiegenden Folgen führen kann. Am 29. Oktober wurde ein Update-Patch veröffentlicht, der das Problem behebt und bei den Kernel-Versionen zwischen 5.10rc-1 und 5.15 zum Einsatz kommt. Bei MITRE wird die Sicherheitslücke unter dem Kürzel CVE-2021-43267 geführt.

Ausnutzung des TIPC-Protokolls

Transparent Inter-Process Communication (TIPC) ist ein Protokoll, das es den Knoten in einem Cluster ermöglicht, effizient zu kommunizieren und dabei fehlertolerant bleibt. Das Protokoll ist in einem Kernelmodul implementiert, das in allen gängigen Linux-Distributionen enthalten ist. Wenn es von einem Benutzer geladen wird, kann es als Socket verwendet und an einer Schnittstelle mit netlink (oder mit dem Userspace-Tool tipc, das diese netlink-Aufrufe ausführt) als unprivilegierter Benutzer konfiguriert werden.

Im September 2020 wurde ein neuer Benutzer-Nachrichtentyp namens MSG_CRYPTO eingeführt, der das Senden und Austauschen von kryptografischen Schlüssel ermöglicht, was den Ursprung der Sicherheitslücke darstellt. Die Möglichkeit der Konfiguration ausgehend aus einer unprivilegierten lokalen Ebene und die Gefahr der Ausnutzung aus der Ferne machen dies zu einer äußerst gefährlichen Schwachstelle für alle, die betroffene Systeme in ihren Netzwerken einsetzen. Besonders besorgniserregend ist, dass ein Angreifer, der diese Schwachstelle ausnutzt, beliebigen Code innerhalb des Kernels ausführen kann, was eine vollständige Kompromittierung des Systems durch Außenstehende zur Folge haben kann.

Disclosure und Gegenmaßnahmen

Am 19. Oktober wurden die Erkenntnisse von SentinelLabs proaktiv gemeldet. Die Sicherheitsforscher haben in Zusammenarbeit mit der Linux Foundation und einem der TIPC-Verantwortlichen einen Patch erstellt, der seit dem 29. Oktober verfügbar ist und seit dem 31. Oktober in aktuellen Linux-Versionen (nach 5.15) bereits vorhanden ist und das Problem behebt.

Da die Sicherheitslücke innerhalb eines Jahres nach ihrer Einführung in die Codebasis entdeckt wurde, sollten TIPC-Benutzer überprüfen, ob ihre Linux-Kernel-Version zwischen 5.10-rc1 und 5.15 liegt und gegebenenfalls ein Update durchführen. Zum jetzigen Zeitpunkt hat SentinelOne keine Hinweise auf erfolgreiche Missbrauchsfälle des Protokolls durch Cyberkriminelle entdeckt.

Weitere technische Details zur Sicherheitslücke sowie Informationen zur Behebung des Problems finden sich im Bericht von SentinelLabs.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Sicherheitslücke im Linux-Kernel

  1. janil sagt:

    Ganz klar, das es auch unter Linux Lücken und dem zu Folge Angriffe gibt. Andererseits kommen hier so ultraschnell die Fixes und Updates, bevor Medien und Magazine überhaupt dazu kommen, darüber zu berichten.

    • 1ST1 sagt:

      Ja, die Fixes kommen schnell, aber wenn man bedenkt, was heutzutage alles so unter Linux läuft was schon seit Jahren keine Updates mehr bekam, da wird mir ganz anders. Wieviele Linux basierte Internet-Router sind da draußen nochmal? Da sind sicher viele davon älter als die PCs dahinter, die sie schützen sollen. Wie sieht das bei immer noch in Gebrauch befindlichen 4-5 Jahre alten Smartphones aus?

      • Blupp sagt:

        Vielleicht macht es Sinn hier etwas mehr zu differenzieren. Ein Desktop-Linux bekommt seine Updates in der Regel sehr schnell und zuverlässig, bevor die Lücken öffentlich werden sind diese Systeme bereits aktualisiert.

        Kopfzerbrechen ist bei kommerziellen Systemen angebracht. Nicht nur Router sind ein Problem, hat z.B. ein NAS auf Linux-Basis ein gewisses Alter erreicht kümmert sich kaum jemand um Aktualisierung. Von dem Billig-IOT-Zeug will ich erst garnicht reden.

        Nicht zuletzt gabs da auch mal Router auf Windowsbasis. Den alten MN700 konnte ich vor kurzem auch noch in einem Netzwerk als AP rumtrollen sehen, sowas ist dann auch nicht besser.

      • Zocker sagt:

        Wie sieht es denn bei den Windowsbasierten Routern aus? Und wie viel kosten die?

      • Werner sagt:

        Solange du auf deinem Router oder Smartphone kein Clusternetzwerk betreibst, bist du auf der sicheren Seite.
        Keine Fritzbox oder andere Router hat diese TIPC-Modul
        überhaupt zur Verfügung. Eine Linuxinstallation müsste
        dieses Modul erstmal als root laden und warum sollte man das tun?
        Androidusern dürfte dieses Modul ebenfalls nicht zur Verfügung stehen.
        Ganz Ängstliche können es unter usr/lib/modules/kernel/net/tipc
        einfach löschen und damit ist das Problem weg.
        Dass bei dir, bei Fehlern im Linuxkernel, völlige Begeisterung
        ausbricht, ist eine andere Geschichte………

  2. 1ST1 sagt:

    Ach nee, echt jetzt? Das gibts doch garnicht!

    • Zocker sagt:

      Wir wissen alle, dass es bei Windows keine Sicherheitslücken gibt. Und dass es dort keine Probleme mit Updates gibt. Aber gut, dass du uns nochmal daran erinnert hast.

  3. Callahan sagt:

    Der Microsoft Bot 1ST1 will uns glauben lassen, Linux wäre eine Firma, die nun zu kritisieren ist, da ältere Geräte keine Updates bekommen.

    Netter Versuch… ;)

  4. chw9999 sagt:

    Jetzt musste ich erst mal suchen, weil der Kernel meiner 20.04 LTS-Version ja eine viel niedrigere Versionsnummer als 5.15 hat.

    Aber: Not vulnerable (5.4.0-9.12)
    h**ps://ubuntu.com/security/CVE-2021-43267

    Daher dürfte *in diesem Falle* auch auf älteren Kernels basierende Hardware gar nicht betroffen sein.

  5. Jan sagt:

    Lieber Günter Born, könnte man diese unerträgliche Hetze des MS Fanboys 1ST1 bitte schnellstmöglich beenden? Oder soll das hier zum Trollhaus werden.

    Danke und viele Grüße

    • Günter Born sagt:

      Einfach ein wenig unverbissener sehen – man kann auch Kommentare überspringen und ignorieren. Mache ich täglich – ich zensiere nur, wenn es justiziabel oder arg daneben ist. Manche Kommentare sind lesenswert, auch wenn konträre Positionen kommen. Bei anderen erkennt man: Da soll gestichelt werden. Wenn niemand reagiert hätte, hätte sich der erste Einzelkommentar totgelaufen …

      Zudem: 1ST1 befasst sich täglich mit dem Zeugs (Windows, Microsoft-Produkte) und hat über die Zeit relevante Infos beigetragen. Ich denke, wir müssen das aushalten, dass da schon mal andere Positionen gespiegelt werden. Wenn es in Richtung "nur mal sticheln" geht, lasst es tot laufen.

      Von daher: Wer Linux einsetzen kann und gut findet, wird da großzügig drüber hinweg lesen, dankbar die Info zur Schwachstelle lesen (sofern noch nicht bekannt) und entsprechend handeln. Dass auch in Linux Schwachstellen existieren, gefunden und gepatcht werden, sollte jedem, der in der Materie steckt, klar sein. Gleiches passiert (hoffentlich) ja auch, wenn etwas zu Windows-Schwachstellen im Blog aufschlägt.

      Solange keine Verschwörungstheorien hier Einzug halten, möchte ich da nicht eingreifen. Danke für dein/euer Verständnis. An alle Mitleser: Versucht beim Kommentieren halt die Netikette zu beachten – man kann unterschiedlicher Meinung sein, aber respektiert auch die Positionen des Gegenüber, ohne gleich in Grabenkämpfe zu verfallen. Und reine Trollbeiträge sollten auch unterbleiben – wenn ich mich mal in einem Artikel vergallopiere, bekomme ich (mit Recht) eins auf die Mütze und gut ist.

      PS: Diese Woche habe ich leider drei Kommentare löschen müssen – zwei unter dem Beitrag zum Hack bei Attila Hildmann und den x-ten-Kommentar "Windows 11 ist ein Unfall" (da gilt "einmal kund tun reicht").

    • Dat Bundesferkel sagt:

      "(…) könnte man diese unerträgliche Hetze des MS Fanboys 1ST1 bitte schnellstmöglich beenden?"
      Ich sehe hier keine Hetze. Sein Einwand ist völlig legitim und nicht von der Hand zu weisen. Und nein, ich rechtfertige mich jetzt nicht damit, welche Systeme ich einsetze…

      • Zocker sagt:

        Hetze hin oder her, "Ach nee, echt jetzt? Das gibts doch garnicht!" ist alles andere als konstruktiv und legitim. Es ist einfach derselbe Stuss, den er unter so ziemlich jeden Linux Artikel setzt. Gerne auch unter MS Artikel, dort halt umgekehrt. Wo siehst du da die Diskussionsgrundlage?

  6. Jackie sagt:

    Ich habe mal ganz easy ein Update gemacht egal ob Rasperry Pi Zero mit 512MB Ram und einem Kern oder 128GB Ram und 8 x64er Kernen habe ich einfach mal apt update && apt upgrade eingegeben. Ich hatte dabei ganz ungewohnt keine Angst und nach wenigen Sekunden und einem Reboot war alles vorbei :) Yeah ich liebe Debian. Blöd das ich schon verheiratet bin :D

    • Dat Bundesferkel sagt:

      "Blöd das ich schon verheiratet bin."
      Monogamie ist nicht zwangsläufig ein muß auf jedem Teil des Planeten. :-D

      Aber ja, Debian ist klasse. Ernsthafte Probleme waren dermaßen selten bei mir (20+ Systeme, virtuell/physisch), daß diese schnell in Vergessenheit geraten.
      Einmal hat GRUB Mist gebaut und ein anderes mal der Hyper-V von 2012 R2 (nach einem Kernel-Update in Debian mußte die Prozessor-Emulation verallgemeinert werden, weil er sonst beim Start der RAM-Disk hing).

      Davon ab: Die Debian-Distris sind i.d.R. so dermaßen stabil bei den Aktualisierungen, daß ich das als Dienst vollautomatisch bei weniger kritischen Systemen laufen lasse. Sprich: Ich bekomme nie etwas mit, fließende Aktualisierung.
      Ach, wenn das doch meine Windows-Plattformen auch nur könnten und nicht jedes mal neu starten wollten…

  7. Alfred sagt:

    Sicherheitslücke wird mit Stagefright-virus über Bluetooth geöffnet durch ein pulseaudio-signal das sich dann durch Unix-codes und Cronjobs modifiziert. Bereits in der 3. Befehlsreihe löscht und übernimmt er deine Root-rechte. Egal ob Linux Pc oder OS-(linux)Handy. Patch vom August 2021 bringt nix. Hab Festplatte abgeklemmt und war dann nur mit ISO-dvd online. Nix mehr zerstört sich immer weiter, hängt im Kernel. — wer's nicht glaubt: kann euch mit Blog Dateien zu schmeißen- muss Kernel patchen und handy roten/ nur bisher keine Zeit für diese heikle Action/___ LGaA

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.