{"id":259346,"date":"2021-11-12T00:36:00","date_gmt":"2021-11-11T23:36:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259346"},"modified":"2021-11-11T19:45:17","modified_gmt":"2021-11-11T18:45:17","slug":"sicherheitslcke-im-linux-kernel","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/12\/sicherheitslcke-im-linux-kernel\/","title":{"rendered":"Sicherheitslücke im Linux-Kernel"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Im Kernel aller g\u00e4ngigen Linux-Distributionen gibt es eine Sicherheitsl\u00fccke, die Forscher von SentinelLabs vor einigen Tagen \u00f6ffentlich gemacht haben. Ein TIPC-Modul in allen g\u00e4ngigen Linux-Distributionen l\u00e4sst sich durch Heap-Overflow-Angriffe ausnutzen, die zu einer System\u00fcbernahme f\u00fchren k\u00f6nnen. Angreifer k\u00f6nnen dadurch das gesamte System kompromittieren. Ein Patch steht aber f\u00fcr die meisten Distributionen zur Verf\u00fcgung.<\/p>\n

<\/p>\n

\"\"Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben eine Heap-Overflow-Schwachstelle im TIPC-Modul des Kernels von Linux-Betriebssystemen entdeckt. Die Sicherheitsl\u00fccke kann entweder lokal oder remote innerhalb eines Netzwerks ausgenutzt werden, um Kernel-Privilegien zu erlangen. Das verwundbare TIPC-Modul ist in allen g\u00e4ngigen Linux-Distributionen enthalten, muss jedoch vom Nutzer geladen werden, um das Protokoll zu aktivieren.<\/p>\n

Durch Ausnutzung der Schwachstelle k\u00f6nnen Angreifer das gesamte System kompromittieren, was zu schwerwiegenden Folgen f\u00fchren kann. Am 29. Oktober wurde ein Update-Patch ver\u00f6ffentlicht, der das Problem behebt und bei den Kernel-Versionen zwischen 5.10rc-1 und 5.15 zum Einsatz kommt. Bei MITRE wird die Sicherheitsl\u00fccke unter dem K\u00fcrzel CVE-2021-43267<\/a> gef\u00fchrt.<\/p>\n

Ausnutzung des TIPC-Protokolls<\/h2>\n

Transparent Inter-Process Communication (TIPC) ist ein Protokoll, das es den Knoten in einem Cluster erm\u00f6glicht, effizient zu kommunizieren und dabei fehlertolerant bleibt. Das Protokoll ist in einem Kernelmodul implementiert, das in allen g\u00e4ngigen Linux-Distributionen enthalten ist. Wenn es von einem Benutzer geladen wird, kann es als Socket verwendet und an einer Schnittstelle mit netlink (oder mit dem Userspace-Tool tipc, das diese netlink-Aufrufe ausf\u00fchrt) als unprivilegierter Benutzer konfiguriert werden.<\/p>\n

Im September 2020 wurde ein neuer Benutzer-Nachrichtentyp namens MSG_CRYPTO eingef\u00fchrt, der das Senden und Austauschen von kryptografischen Schl\u00fcssel erm\u00f6glicht, was den Ursprung der Sicherheitsl\u00fccke darstellt. Die M\u00f6glichkeit der Konfiguration ausgehend aus einer unprivilegierten lokalen Ebene und die Gefahr der Ausnutzung aus der Ferne machen dies zu einer \u00e4u\u00dferst gef\u00e4hrlichen Schwachstelle f\u00fcr alle, die betroffene Systeme in ihren Netzwerken einsetzen. Besonders besorgniserregend ist, dass ein Angreifer, der diese Schwachstelle ausnutzt, beliebigen Code innerhalb des Kernels ausf\u00fchren kann, was eine vollst\u00e4ndige Kompromittierung des Systems durch Au\u00dfenstehende zur Folge haben kann.<\/p>\n

Disclosure und Gegenma\u00dfnahmen<\/h2>\n

Am 19. Oktober wurden die Erkenntnisse von SentinelLabs proaktiv gemeldet. Die Sicherheitsforscher haben in Zusammenarbeit mit der Linux Foundation und einem der TIPC-Verantwortlichen einen Patch erstellt, der seit dem 29. Oktober verf\u00fcgbar ist und seit dem 31. Oktober in aktuellen Linux-Versionen (nach 5.15) bereits vorhanden ist und das Problem behebt.<\/p>\n

Da die Sicherheitsl\u00fccke innerhalb eines Jahres nach ihrer Einf\u00fchrung in die Codebasis entdeckt wurde, sollten TIPC-Benutzer \u00fcberpr\u00fcfen, ob ihre Linux-Kernel-Version zwischen 5.10-rc1 und 5.15 liegt und gegebenenfalls ein Update durchf\u00fchren. Zum jetzigen Zeitpunkt hat SentinelOne keine Hinweise auf erfolgreiche Missbrauchsf\u00e4lle des Protokolls durch Cyberkriminelle entdeckt.<\/p>\n

Weitere technische Details zur Sicherheitsl\u00fccke sowie Informationen zur Behebung des Problems finden sich im Bericht von SentinelLabs<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Kernel aller g\u00e4ngigen Linux-Distributionen gibt es eine Sicherheitsl\u00fccke, die Forscher von SentinelLabs vor einigen Tagen \u00f6ffentlich gemacht haben. Ein TIPC-Modul in allen g\u00e4ngigen Linux-Distributionen l\u00e4sst sich durch Heap-Overflow-Angriffe ausnutzen, die zu einer System\u00fcbernahme f\u00fchren k\u00f6nnen. Angreifer k\u00f6nnen dadurch das … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426],"tags":[4305,4328],"class_list":["post-259346","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","tag-linux","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259346","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259346"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259346\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}