Ubuntu: Privilege Escalation-Schwachstellen CVE-2023-2640 und CVE-2023-32629

Veröffentlicht am 28. Juli 2023 von Günter Born

Sicherheitsforscher von Wiz haben zwei Privilege Escalation-Schwachstellen CVE-2023-2640 und CVE-2023-32629 im OverlayFS Modul von Ubuntu gefunden. Die zwei leicht auszunutzenden Schwachstellen zur Privilegienerweiterung im OverlayFS-Modul von Ubuntu betreffen wohl 40 % der Ubuntu-Cloud-Workloads. Details finden sich im Wiz-Beitrag GameOver(lay): Easy-to-exploit local privilege escalation vulnerabilities in Ubuntu Linux affect 40% of Ubuntu cloud workloads

Passwörter im Active Directory mit PowerShell verwalten. eBook herunterladen » (Sponsored by IT Pro)
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

2 Kommentare zu Ubuntu: Privilege Escalation-Schwachstellen CVE-2023-2640 und CVE-2023-32629

  1. chw9999 sagt:
    28. Juli 2023 um 20:22 Uhr

    Mein ent-snap-tes personal Xubuntu 22.04.2 LTS hat die Kernel Version Linux 5.15.0-78, sollte also nicht anfällig sein. Welchen werden wohl die Server haben?

    Antworten
  2. Norddeutsch sagt:
    28. Juli 2023 um 23:27 Uhr

    Nur zur Klarstellung: Wenn ich überfliege würde ich derzeit von Risiko für diverseste Ubuntu-Derivate, wie zB @chw9999 oben (wenn sein Kernel betroffen wär) für Xubuntu oder ebenso Debian ausgehen.
    Sie haben noch nicht alles getestet (Zitat, Liste ist "work in progress") – werden jedoch vll auch nur diverse Ubuntu testen?

    Die Mitigation wird skizziert durch Setzen von:
    unprivileged_userns_clone = 0
    in einer Datei in /etc/sysctl.d/ wie "99-disable-unpriv-userns.conf" (Suffix .conf bitte beachten)

    Es ist mE eigentlich eine recht alte diskutierte Härtung: hier oder da kenn ich sie schon seit ? Jahren. Dabei gibts bei der Mitigation wie immer einige Dinge zu beachten, ich hab grad auf der Konsole:

    Debian 10 und 11 stehen default mW auch noch auf unprivileged_userns_clone = 1

    Für die "Zurück-aus-der-Zukunft"-Leser: Die Mitigation könnte zukünftig zB unter Debian laut lwn auch "userns_restrict" werden.

    Gemein:
    Teilweise wird sie bei Linux "overruled", ein Beispiel kann /usr/lib/sysctl.d/50-bubblewrap.conf sein.

    Achtung
    Für den Browser Brave kann kernel.unprivileged_userns_clone=1 empfohlen oder zwingend sein ( Brave scheint auch ptrace, processinspection und modify konfliktbehaftet zu nutzen, hab es jedoch nie zu Ende getestet)

    Für Geeks und BIT-Fetischisten
    aus meiner Config-Notiz: 0=classic permissions 1=restrict ptrace/namespace 2=admin-only-attach 3=no-attach,unchangeable during runtime

    Der Paramater an sich ist zB hier ob seiner Existenz schon vor 4 Jahren in Diskussion.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.