Ubuntu: Privilege Escalation-Schwachstellen CVE-2023-2640 und CVE-2023-32629

Veröffentlicht am 28. Juli 2023 von Günter Born

Sicherheitsforscher von Wiz haben zwei Privilege Escalation-Schwachstellen CVE-2023-2640 und CVE-2023-32629 im OverlayFS Modul von Ubuntu gefunden. Die zwei leicht auszunutzenden Schwachstellen zur Privilegienerweiterung im OverlayFS-Modul von Ubuntu betreffen wohl 40 % der Ubuntu-Cloud-Workloads. Details finden sich im Wiz-Beitrag GameOver(lay): Easy-to-exploit local privilege escalation vulnerabilities in Ubuntu Linux affect 40% of Ubuntu cloud workloads

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

2 Kommentare zu Ubuntu: Privilege Escalation-Schwachstellen CVE-2023-2640 und CVE-2023-32629

  1. chw9999 sagt:
    28. Juli 2023 um 20:22 Uhr

    Mein ent-snap-tes personal Xubuntu 22.04.2 LTS hat die Kernel Version Linux 5.15.0-78, sollte also nicht anfällig sein. Welchen werden wohl die Server haben?

    Antworten
  2. Norddeutsch sagt:
    28. Juli 2023 um 23:27 Uhr

    Nur zur Klarstellung: Wenn ich überfliege würde ich derzeit von Risiko für diverseste Ubuntu-Derivate, wie zB @chw9999 oben (wenn sein Kernel betroffen wär) für Xubuntu oder ebenso Debian ausgehen.
    Sie haben noch nicht alles getestet (Zitat, Liste ist "work in progress") – werden jedoch vll auch nur diverse Ubuntu testen?

    Die Mitigation wird skizziert durch Setzen von:
    unprivileged_userns_clone = 0
    in einer Datei in /etc/sysctl.d/ wie "99-disable-unpriv-userns.conf" (Suffix .conf bitte beachten)

    Es ist mE eigentlich eine recht alte diskutierte Härtung: hier oder da kenn ich sie schon seit ? Jahren. Dabei gibts bei der Mitigation wie immer einige Dinge zu beachten, ich hab grad auf der Konsole:

    Debian 10 und 11 stehen default mW auch noch auf unprivileged_userns_clone = 1

    Für die "Zurück-aus-der-Zukunft"-Leser: Die Mitigation könnte zukünftig zB unter Debian laut lwn auch "userns_restrict" werden.

    Gemein:
    Teilweise wird sie bei Linux "overruled", ein Beispiel kann /usr/lib/sysctl.d/50-bubblewrap.conf sein.

    Achtung
    Für den Browser Brave kann kernel.unprivileged_userns_clone=1 empfohlen oder zwingend sein ( Brave scheint auch ptrace, processinspection und modify konfliktbehaftet zu nutzen, hab es jedoch nie zu Ende getestet)

    Für Geeks und BIT-Fetischisten
    aus meiner Config-Notiz: 0=classic permissions 1=restrict ptrace/namespace 2=admin-only-attach 3=no-attach,unchangeable during runtime

    Der Paramater an sich ist zB hier ob seiner Existenz schon vor 4 Jahren in Diskussion.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.