{"id":309927,"date":"2025-03-28T11:05:07","date_gmt":"2025-03-28T10:05:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=309927"},"modified":"2025-03-28T11:05:07","modified_gmt":"2025-03-28T10:05:07","slug":"ubuntu-3-sicherheitsluecken-in-den-nutzer-namespace-beschraenkungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/03\/28\/ubuntu-3-sicherheitsluecken-in-den-nutzer-namespace-beschraenkungen\/","title":{"rendered":"Ubuntu: 3 Sicherheitsl\u00fccken in den Nutzer-Namespace-Beschr\u00e4nkungen"},"content":{"rendered":"

Sicherheitsforscher von Qualys Threat Research Unit (TRU) hab in Ubuntu gleich drei Sicherheitsl\u00fccken in den Nutzer-Namespace-Beschr\u00e4nkungen entdeckt und im Januar 2025 an das Ubuntu Security Team gemeldet.<\/p>\n

<\/p>\n

\"\"Die Info von Qualys ist mir am Abend des 27. M\u00e4rz 2025 per Mail zugegangen. In der Mail hei\u00dft es, dass die Qualys Threat Research Unit (TRU) drei Sicherheitsl\u00fccken in den Nutzer-Namespace-Beschr\u00e4nkungen von Ubuntu entdeckt habe.<\/p>\n

Hintergrund zu Nutzer-Namespaces in Linux<\/h2>\n

Linux erlaubt es unprivilegierten Nutzern eigene Namespaces mit Admin-Rechten zu erstellen, was zwar f\u00fcr Container-Technologien n\u00fctzlich ist, aber gleichzeitig das Angriffspotenzial erh\u00f6ht. Ubuntu hat in Version 23.10 erste Beschr\u00e4nkungen eingef\u00fchrt und diese in Version 24.04 standardm\u00e4\u00dfig aktiviert, um solche Angriffe zu verhindern.<\/p>\n

Hintergrund des Ganzen<\/h2>\n

Ubuntu 23.10 und 24.04 LTS haben neue AppArmor-basierte Funktionen eingef\u00fchrt, um die Angriffsfl\u00e4che f\u00fcr unprivilegierte Benutzer-Namespaces im Linux-Kernel zu verringern. Unprivilegierte Benutzer-Namensr\u00e4ume sind eine Funktion im Linux-Kernel, die eingef\u00fchrt wurde, um zus\u00e4tzliche Sandboxing-Funktionalit\u00e4t f\u00fcr Programme wie Container-Laufzeiten bereitzustellen. Sie erm\u00f6glicht es unprivilegierten Benutzern, innerhalb einer begrenzten Umgebung Administrator- (Root-) Rechte zu erhalten, ohne ihnen erh\u00f6hte Rechte auf dem Host-System zu geben.<\/p>\n

Unprivilegierte Benutzer-Namensr\u00e4ume wurden wiederholt f\u00fcr die Ausnutzung von Kernel-Schwachstellen verwendet, so dass die AppArmor-Beschr\u00e4nkung als Sicherheitsma\u00dfnahme dient. Der langfristiger Plan der Ubuntu-Entwickler ist es, weitere Versch\u00e4rfungsregeln in AppArmor zu implementieren, wobei der aktuelle Satz von Funktionen als Sprungbrett zu einer st\u00e4rkeren Sicherheitsposition dient.<\/p>\n

Die Sicherheitsforscher von Qualys 10 haben drei verschiedene M\u00f6glichkeiten identifiziert, mit denen diese H\u00e4rtungsfunktion unter bestimmten Umst\u00e4nden umgangen werden kann.<\/p>\n

Betroffene Ubuntu-Versionen<\/h2>\n

Die Sicherheitsl\u00fccken betreffen Ubuntu 24.04 und sp\u00e4tere Versionen. Nutzer von Ubuntu 23.10 sind betroffen, falls sie die Einschr\u00e4nkungen zuvor manuell aktiviert haben. Die Schwachstellen erm\u00f6glichen es Angreifern, administrative Rechte innerhalb von Nutzer-Namespaces zu erlangen und so Kernel-Sicherheitsl\u00fccken gezielt auszunutzen. Die Sicherheitsl\u00fccken wurden am 15. Januar 2025 dem Ubuntu Security Team gemeldet.<\/p>\n

Welche M\u00f6glichkeiten zur Risikominderung gibt es?<\/h2>\n

Die Empfehlung von Qualsys ist, dass Organisationen nicht nur auf Patches warten sollten, sondern auch sofortige Gegenma\u00dfnahmen ergreifen, um Angriffe zu verhindern.\u00a0Um Organisationen bei der Abwehr dieser Bedrohung zu unterst\u00fctzen, bietet Qualys das TruRisk Eliminate-Modul an. Dieses Modul erlaubt es, Sicherheitsma\u00dfnahmen direkt \u00fcber die Qualys-Plattform zu implementieren, um das Risiko sofort zu reduzieren. Die Entwickler von Qualys haben erprobte Skripte bereitgestellt, um die Schwachstellen effizient zu entsch\u00e4rfen.<\/p>\n

Angesprochen wurden\u00a0L\u00f6sungen wie Qualys TruRisk Eliminate, mit denen das Risiko proaktiv minimiert werden kann. Weitere Informationen zur Minimierung der Angriffsfl\u00e4che bietet Qualys in diesem Blog-Beitrag<\/a>. Die Ubuntu-Entwickler haben im Beitrag Understanding AppArmor User Namespace Restriction<\/a> weitere Informationen ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheitsforscher von Qualys Threat Research Unit (TRU) hab in Ubuntu gleich drei Sicherheitsl\u00fccken in den Nutzer-Namespace-Beschr\u00e4nkungen entdeckt und im Januar 2025 an das Ubuntu Security Team gemeldet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426],"tags":[4328,4347],"class_list":["post-309927","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","tag-sicherheit","tag-ubuntu"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309927","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=309927"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309927\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=309927"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=309927"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=309927"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}