[English]Im Kernel aller gängigen Linux-Distributionen gibt es eine Sicherheitslücke, die Forscher von SentinelLabs vor einigen Tagen öffentlich gemacht haben. Ein TIPC-Modul in allen gängigen Linux-Distributionen lässt sich durch Heap-Overflow-Angriffe ausnutzen, die zu einer Systemübernahme führen können. Angreifer können dadurch das gesamte System kompromittieren. Ein Patch steht aber für die meisten Distributionen zur Verfügung.
Anzeige
Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben eine Heap-Overflow-Schwachstelle im TIPC-Modul des Kernels von Linux-Betriebssystemen entdeckt. Die Sicherheitslücke kann entweder lokal oder remote innerhalb eines Netzwerks ausgenutzt werden, um Kernel-Privilegien zu erlangen. Das verwundbare TIPC-Modul ist in allen gängigen Linux-Distributionen enthalten, muss jedoch vom Nutzer geladen werden, um das Protokoll zu aktivieren.
Durch Ausnutzung der Schwachstelle können Angreifer das gesamte System kompromittieren, was zu schwerwiegenden Folgen führen kann. Am 29. Oktober wurde ein Update-Patch veröffentlicht, der das Problem behebt und bei den Kernel-Versionen zwischen 5.10rc-1 und 5.15 zum Einsatz kommt. Bei MITRE wird die Sicherheitslücke unter dem Kürzel CVE-2021-43267 geführt.
Ausnutzung des TIPC-Protokolls
Transparent Inter-Process Communication (TIPC) ist ein Protokoll, das es den Knoten in einem Cluster ermöglicht, effizient zu kommunizieren und dabei fehlertolerant bleibt. Das Protokoll ist in einem Kernelmodul implementiert, das in allen gängigen Linux-Distributionen enthalten ist. Wenn es von einem Benutzer geladen wird, kann es als Socket verwendet und an einer Schnittstelle mit netlink (oder mit dem Userspace-Tool tipc, das diese netlink-Aufrufe ausführt) als unprivilegierter Benutzer konfiguriert werden.
Im September 2020 wurde ein neuer Benutzer-Nachrichtentyp namens MSG_CRYPTO eingeführt, der das Senden und Austauschen von kryptografischen Schlüssel ermöglicht, was den Ursprung der Sicherheitslücke darstellt. Die Möglichkeit der Konfiguration ausgehend aus einer unprivilegierten lokalen Ebene und die Gefahr der Ausnutzung aus der Ferne machen dies zu einer äußerst gefährlichen Schwachstelle für alle, die betroffene Systeme in ihren Netzwerken einsetzen. Besonders besorgniserregend ist, dass ein Angreifer, der diese Schwachstelle ausnutzt, beliebigen Code innerhalb des Kernels ausführen kann, was eine vollständige Kompromittierung des Systems durch Außenstehende zur Folge haben kann.
Anzeige
Disclosure und Gegenmaßnahmen
Am 19. Oktober wurden die Erkenntnisse von SentinelLabs proaktiv gemeldet. Die Sicherheitsforscher haben in Zusammenarbeit mit der Linux Foundation und einem der TIPC-Verantwortlichen einen Patch erstellt, der seit dem 29. Oktober verfügbar ist und seit dem 31. Oktober in aktuellen Linux-Versionen (nach 5.15) bereits vorhanden ist und das Problem behebt.
Da die Sicherheitslücke innerhalb eines Jahres nach ihrer Einführung in die Codebasis entdeckt wurde, sollten TIPC-Benutzer überprüfen, ob ihre Linux-Kernel-Version zwischen 5.10-rc1 und 5.15 liegt und gegebenenfalls ein Update durchführen. Zum jetzigen Zeitpunkt hat SentinelOne keine Hinweise auf erfolgreiche Missbrauchsfälle des Protokolls durch Cyberkriminelle entdeckt.
Weitere technische Details zur Sicherheitslücke sowie Informationen zur Behebung des Problems finden sich im Bericht von SentinelLabs.
Anzeige
Ganz klar, das es auch unter Linux Lücken und dem zu Folge Angriffe gibt. Andererseits kommen hier so ultraschnell die Fixes und Updates, bevor Medien und Magazine überhaupt dazu kommen, darüber zu berichten.
Ja, die Fixes kommen schnell, aber wenn man bedenkt, was heutzutage alles so unter Linux läuft was schon seit Jahren keine Updates mehr bekam, da wird mir ganz anders. Wieviele Linux basierte Internet-Router sind da draußen nochmal? Da sind sicher viele davon älter als die PCs dahinter, die sie schützen sollen. Wie sieht das bei immer noch in Gebrauch befindlichen 4-5 Jahre alten Smartphones aus?
Vielleicht macht es Sinn hier etwas mehr zu differenzieren. Ein Desktop-Linux bekommt seine Updates in der Regel sehr schnell und zuverlässig, bevor die Lücken öffentlich werden sind diese Systeme bereits aktualisiert.
Kopfzerbrechen ist bei kommerziellen Systemen angebracht. Nicht nur Router sind ein Problem, hat z.B. ein NAS auf Linux-Basis ein gewisses Alter erreicht kümmert sich kaum jemand um Aktualisierung. Von dem Billig-IOT-Zeug will ich erst garnicht reden.
Nicht zuletzt gabs da auch mal Router auf Windowsbasis. Den alten MN700 konnte ich vor kurzem auch noch in einem Netzwerk als AP rumtrollen sehen, sowas ist dann auch nicht besser.
Wie sieht es denn bei den Windowsbasierten Routern aus? Und wie viel kosten die?
Solange du auf deinem Router oder Smartphone kein Clusternetzwerk betreibst, bist du auf der sicheren Seite.
Keine Fritzbox oder andere Router hat diese TIPC-Modul
überhaupt zur Verfügung. Eine Linuxinstallation müsste
dieses Modul erstmal als root laden und warum sollte man das tun?
Androidusern dürfte dieses Modul ebenfalls nicht zur Verfügung stehen.
Ganz Ängstliche können es unter usr/lib/modules/kernel/net/tipc
einfach löschen und damit ist das Problem weg.
Dass bei dir, bei Fehlern im Linuxkernel, völlige Begeisterung
ausbricht, ist eine andere Geschichte………
Ach nee, echt jetzt? Das gibts doch garnicht!
Wir wissen alle, dass es bei Windows keine Sicherheitslücken gibt. Und dass es dort keine Probleme mit Updates gibt. Aber gut, dass du uns nochmal daran erinnert hast.
Der Microsoft Bot 1ST1 will uns glauben lassen, Linux wäre eine Firma, die nun zu kritisieren ist, da ältere Geräte keine Updates bekommen.
Netter Versuch… ;)
Der Callahan-Bot bellt wie ein getroffener Hund!
Nein, du und dein stumpfsinniges anti Linux geblubber nervt. Jeden.
Verschwinde doch in die Beiträge zum Thema Windows, da kennst du dich ja so gut aus.
Danke, die Community
Jetzt musste ich erst mal suchen, weil der Kernel meiner 20.04 LTS-Version ja eine viel niedrigere Versionsnummer als 5.15 hat.
Aber: Not vulnerable (5.4.0-9.12)
h**ps://ubuntu.com/security/CVE-2021-43267
Daher dürfte *in diesem Falle* auch auf älteren Kernels basierende Hardware gar nicht betroffen sein.
Programmieren die da am Kernel tatsächlich noch wie zu Commodore Basic V2.0 Zeiten zu C-64-Zeiten mit dem GOTO Befehl?
https://github.com/torvalds/linux/commit/fa40d9734a57bcbfa79a280189799f76c88f7bb0
goto exit
Zu schön!
Das kommt immer wieder mal auf, siehe https://koblents.com/Ches/Links/Month-Mar-2013/20-Using-Goto-in-Linux-Kernel-Code/
Grund ist, dass dadurch Programmaufrufe klarer werden – *wenn* man es korrekt einsetzt. Und darauf achten die Kernel-Entwickler.
GOTO ist nur dann von Übel, wenn man damit unlesbaren Code erzeugt. Bzw: unnötigerweise unlesbaren Code erzeugt. Solange der Programmablauf klar bleibt…
Lieber Günter Born, könnte man diese unerträgliche Hetze des MS Fanboys 1ST1 bitte schnellstmöglich beenden? Oder soll das hier zum Trollhaus werden.
Danke und viele Grüße
Einfach ein wenig unverbissener sehen – man kann auch Kommentare überspringen und ignorieren. Mache ich täglich – ich zensiere nur, wenn es justiziabel oder arg daneben ist. Manche Kommentare sind lesenswert, auch wenn konträre Positionen kommen. Bei anderen erkennt man: Da soll gestichelt werden. Wenn niemand reagiert hätte, hätte sich der erste Einzelkommentar totgelaufen …
Zudem: 1ST1 befasst sich täglich mit dem Zeugs (Windows, Microsoft-Produkte) und hat über die Zeit relevante Infos beigetragen. Ich denke, wir müssen das aushalten, dass da schon mal andere Positionen gespiegelt werden. Wenn es in Richtung "nur mal sticheln" geht, lasst es tot laufen.
Von daher: Wer Linux einsetzen kann und gut findet, wird da großzügig drüber hinweg lesen, dankbar die Info zur Schwachstelle lesen (sofern noch nicht bekannt) und entsprechend handeln. Dass auch in Linux Schwachstellen existieren, gefunden und gepatcht werden, sollte jedem, der in der Materie steckt, klar sein. Gleiches passiert (hoffentlich) ja auch, wenn etwas zu Windows-Schwachstellen im Blog aufschlägt.
Solange keine Verschwörungstheorien hier Einzug halten, möchte ich da nicht eingreifen. Danke für dein/euer Verständnis. An alle Mitleser: Versucht beim Kommentieren halt die Netikette zu beachten – man kann unterschiedlicher Meinung sein, aber respektiert auch die Positionen des Gegenüber, ohne gleich in Grabenkämpfe zu verfallen. Und reine Trollbeiträge sollten auch unterbleiben – wenn ich mich mal in einem Artikel vergallopiere, bekomme ich (mit Recht) eins auf die Mütze und gut ist.
PS: Diese Woche habe ich leider drei Kommentare löschen müssen – zwei unter dem Beitrag zum Hack bei Attila Hildmann und den x-ten-Kommentar "Windows 11 ist ein Unfall" (da gilt "einmal kund tun reicht").
"(…) könnte man diese unerträgliche Hetze des MS Fanboys 1ST1 bitte schnellstmöglich beenden?"
Ich sehe hier keine Hetze. Sein Einwand ist völlig legitim und nicht von der Hand zu weisen. Und nein, ich rechtfertige mich jetzt nicht damit, welche Systeme ich einsetze…
Hetze hin oder her, "Ach nee, echt jetzt? Das gibts doch garnicht!" ist alles andere als konstruktiv und legitim. Es ist einfach derselbe Stuss, den er unter so ziemlich jeden Linux Artikel setzt. Gerne auch unter MS Artikel, dort halt umgekehrt. Wo siehst du da die Diskussionsgrundlage?
Ich habe mal ganz easy ein Update gemacht egal ob Rasperry Pi Zero mit 512MB Ram und einem Kern oder 128GB Ram und 8 x64er Kernen habe ich einfach mal apt update && apt upgrade eingegeben. Ich hatte dabei ganz ungewohnt keine Angst und nach wenigen Sekunden und einem Reboot war alles vorbei :) Yeah ich liebe Debian. Blöd das ich schon verheiratet bin :D
"Blöd das ich schon verheiratet bin."
Monogamie ist nicht zwangsläufig ein muß auf jedem Teil des Planeten. :-D
Aber ja, Debian ist klasse. Ernsthafte Probleme waren dermaßen selten bei mir (20+ Systeme, virtuell/physisch), daß diese schnell in Vergessenheit geraten.
Einmal hat GRUB Mist gebaut und ein anderes mal der Hyper-V von 2012 R2 (nach einem Kernel-Update in Debian mußte die Prozessor-Emulation verallgemeinert werden, weil er sonst beim Start der RAM-Disk hing).
Davon ab: Die Debian-Distris sind i.d.R. so dermaßen stabil bei den Aktualisierungen, daß ich das als Dienst vollautomatisch bei weniger kritischen Systemen laufen lasse. Sprich: Ich bekomme nie etwas mit, fließende Aktualisierung.
Ach, wenn das doch meine Windows-Plattformen auch nur könnten und nicht jedes mal neu starten wollten…
Sicherheitslücke wird mit Stagefright-virus über Bluetooth geöffnet durch ein pulseaudio-signal das sich dann durch Unix-codes und Cronjobs modifiziert. Bereits in der 3. Befehlsreihe löscht und übernimmt er deine Root-rechte. Egal ob Linux Pc oder OS-(linux)Handy. Patch vom August 2021 bringt nix. Hab Festplatte abgeklemmt und war dann nur mit ISO-dvd online. Nix mehr zerstört sich immer weiter, hängt im Kernel. — wer's nicht glaubt: kann euch mit Blog Dateien zu schmeißen- muss Kernel patchen und handy roten/ nur bisher keine Zeit für diese heikle Action/___ LGaA