RUS-CERT-1420 – Archivierte Meldung

Meldung Nr: RUS-CERT-1420

[GNU/Linux] Exploit Code für Kernel-Schwachstellen in Umlauf
(2008-02-11 13:49:57.615925+00)

Quelle: http://www.heise.de/security/Root-Exploit-fuer-Linux-Kernel--/news/meldung/103279

Zwei Schwachstellen in einer mit dem Linux-Kernel 2.6.17 eingeführten Funktion können von einem auf einem betroffenen Rechnersystem angemeldeten nichtprivilegierten Benutzer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen (root) Privilegien auszuführen. Funktionierender Exploit-Code ist in Umlauf.

Betroffene Systeme

Linux-Kernels ab Version 2.6.17

Nicht betroffene Systeme

Linux-Kernels vor Version 2.6.17
Linux-Kernel 2.6.24.2

Einfallstor
Aufruf der Funktion vmsplice_to_user

Angriffsvoraussetzung
unprivilegierte Benutzerkennung
(user credentials)

Angriffsvektorklasse
lokal
(local)

Auswirkung
Ausführung beliebigen Programmcodes mit root-Privilegien
(system compromise)

Typ der Verwundbarkeit
Programmierfehler
(programming flaw)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Zwei Schwachstellen in der mit dem Linux-Kernel 2.6.17 eingeführten Funktion vmsplice können von einem auf einem betroffenen Rechnersystem angemeldeten nichtprivilegierten Benutzer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen (root) Privilegien auszuführen.

Es ist funktionierender Exploit-Code in Umlauf.

Die Kernel-Version 2.6.24.2 behebt die Schwachstelle.
Versuche haben ergeben, dass der veröffentlichte Exploit-Code bei dieser Kernel-Version nicht mehr erfolgreich eingesetzt werden kann.

Betreiber von Systemen, auf denen regulär nichtprivilegierte Benutzer arbeiten, sollten umgehend die neue Kernel-Version 2.6.24.2 installieren.

Workaround

Einschränkung der unprivilegierten Benutzer auf vertrauenswürdige Personen

Hinweis: Diese Maßnahme kann je nach Nutzung des betroffenen Systems zu drastischen Einschränkungen führen und bietet keinen Schutz vor der Ausnutzung der Schwachstelle, da sie nicht auf einer technischen Einschränkung der Angriffsmöglichkeit beruht. Sie kann lediglich dazu dienen, die Gefahr insofern einzuschränken, als dass der Betreiber des Systems den nach Anwendung dieser Maßnahme noch zugelassenen Benutzern so weit vertraut, dass diese die Schwachstelle nicht böswillig ausnutzen würden, oder ihre Benutzerkennung nicht leichtfertig an dritte weitergeben.
Technisch ist diese Einschränkung wertlos.

Gegenmaßnahmen

Installation des neuen Kernels der Version 2.6.24.2

Vulnerability ID

Exploit Status

Funktionierender Exploit-Code ist in Umlauf

Revisionen dieser Meldung

V 1.0 (2008-02-11)
V 1.1 (2008-02-11): Information zum Kernel 2.6.24.2 hinzugefügt

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1420