Sicherheitsforscher von Wiz haben zwei Privilege Escalation-Schwachstellen CVE-2023-2640 und CVE-2023-32629 im OverlayFS Modul von Ubuntu gefunden. Die zwei leicht auszunutzenden Schwachstellen zur Privilegienerweiterung im OverlayFS-Modul von Ubuntu betreffen wohl 40 % der Ubuntu-Cloud-Workloads. Details finden sich im Wiz-Beitrag GameOver(lay): Easy-to-exploit local privilege escalation vulnerabilities in Ubuntu Linux affect 40% of Ubuntu cloud workloads
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Neue Android-Trojaner kapern Bankkonten in Echtzeit News 28. April 2026
- Signal-Phishing und Robinhood-Exploit: Doppelte Cyber-Bedrohung erschüttert Europa News 28. April 2026
- FreeOffice und Co.: Open-Source-Alternativen im Aufwind News 28. April 2026
- Apple: Tim Cook tritt zurück – John Ternus übernimmt News 28. April 2026
- Microsoft revolutioniert Windows 11: Neue Update-Freiheit für Nutzer News 28. April 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Anonym bei DATEV-Störung von 12:26 bis 17:11 Uhr am 28. April 2026
- Anonym bei DATEV-Störung von 12:26 bis 17:11 Uhr am 28. April 2026
- Froschkönig bei DATEV-Störung von 12:26 bis 17:11 Uhr am 28. April 2026
- MaxM bei Exchange Online: TLS 1.0/1.1 für POP und IMAP ab Juli 2026 mehr unterstützt
- Carsten bei DATEV-Störung von 12:26 bis 17:11 Uhr am 28. April 2026
- Andreas bei GitHub: Umstellung auf "Token-based" Billing ab 1. Juli 2026 angekündigt
- ARC4 bei Autsch: Cloud Code Coding-Agent löscht Firmendatenbank samt Backups
- MartinJ bei Autsch: Cloud Code Coding-Agent löscht Firmendatenbank samt Backups
- Chris bei Exchange Online: TLS 1.0/1.1 für POP und IMAP ab Juli 2026 mehr unterstützt
- Hans bei Windows 11 25H2 und Server 2025: Neue Administrative Templates (.admx)
- Hans bei Windows 11 25H2 und Server 2025: Neue Administrative Templates (.admx)
- Anonym bei Windows 11 25H2 und Server 2025: Neue Administrative Templates (.admx)
- viebrix bei Diskussion
- Carsten bei Windows 11 25H2 und Server 2025: Neue Administrative Templates (.admx)
- Anonym bei Exchange Online: TLS 1.0/1.1 für POP und IMAP ab Juli 2026 mehr unterstützt
Mein ent-snap-tes personal Xubuntu 22.04.2 LTS hat die Kernel Version Linux 5.15.0-78, sollte also nicht anfällig sein. Welchen werden wohl die Server haben?
Nur zur Klarstellung: Wenn ich überfliege würde ich derzeit von Risiko für diverseste Ubuntu-Derivate, wie zB @chw9999 oben (wenn sein Kernel betroffen wär) für Xubuntu oder ebenso Debian ausgehen.
Sie haben noch nicht alles getestet (Zitat, Liste ist "work in progress") – werden jedoch vll auch nur diverse Ubuntu testen?
Die Mitigation wird skizziert durch Setzen von:
unprivileged_userns_clone = 0
in einer Datei in /etc/sysctl.d/ wie "99-disable-unpriv-userns.conf" (Suffix .conf bitte beachten)
Es ist mE eigentlich eine recht alte diskutierte Härtung: hier oder da kenn ich sie schon seit ? Jahren. Dabei gibts bei der Mitigation wie immer einige Dinge zu beachten, ich hab grad auf der Konsole:
Debian 10 und 11 stehen default mW auch noch auf unprivileged_userns_clone = 1
Für die "Zurück-aus-der-Zukunft"-Leser: Die Mitigation könnte zukünftig zB unter Debian laut lwn auch "userns_restrict" werden.
Gemein:
Teilweise wird sie bei Linux "overruled", ein Beispiel kann /usr/lib/sysctl.d/50-bubblewrap.conf sein.
Achtung
Für den Browser Brave kann kernel.unprivileged_userns_clone=1 empfohlen oder zwingend sein ( Brave scheint auch ptrace, processinspection und modify konfliktbehaftet zu nutzen, hab es jedoch nie zu Ende getestet)
Für Geeks und BIT-Fetischisten
aus meiner Config-Notiz: 0=classic permissions 1=restrict ptrace/namespace 2=admin-only-attach 3=no-attach,unchangeable during runtime
Der Paramater an sich ist zB hier ob seiner Existenz schon vor 4 Jahren in Diskussion.