[Erratum] "Faszinierende Schwachstelle" im Kernel 2.6.30

[Erratum] "Faszinierende Schwachstelle" im Kernel 2.6.30

Lücke im System

Britta Wülfing
21.07.2009 Ein kürzlich veröffentlichter Root-Exploit attackiert neuere Linux-Versionen und umgeht dabei auch Sicherheits-Software wie SELinux oder AppArmor. Eine Lösung ist schon gefunden.

„Eine neue, faszinierende Kernel-Schwachstelle“, übertitelt Bogdan Zdrnja auf der Webseite des Internet Storm Center seinen Eintrag zu dem Root-Exploit. Veröffentlicht wurde der Exploit-Code von Brad Spengler, selbst Entwickler der Open-Source-Security-Applikation grsecurity. Zdrnja erläutert den Grund für seine Faszination: „Weil ein Quellcode-Audit niemals diese Schwachstelle finden würde (nun ja, tatsächlich ist es möglich, aber ich versichere, dass beinahe jeder ihn übersehen würde).“ Es sollen nur Kernelversionen ab 2.6.30 betroffen sein, der Schadcode funktioniert auf 32-Bit ebenso wie auf 64-Bit-Versionen, wie Spengler schreibt.

Die Lücke nutzt eine Schwachstelle in der Net/Tun-Implementierung. Obwohl der Code korrekt prüft, dass eine bestimmte Variable nicht "NULL" ist, entfernt der Compiler während Optimierungsläufen die Zeilen, die für diese Prüfung zuständig sind. Wenn die Variable auf Null zeigt, versucht der Kernel auf verbotene Speicherteile zuzugreifen, sodass ein Angreifer Schadcode einschleusen könnte. Zdrnja vom Internet Storm Center beschreibt die „relativ einfache“ Lösung: „Die Prüfung muss passieren, bevor der Wert in die Struktur geschrieben wird.“

Damit führt der Compiler eine Schwachstelle in das Binary ein, die im Quelltext nicht vorhanden war. Dies veranlasst den Security-Experten Zdrnja zu dem Fazit: „Faszinierende Forschung, die wieder zeigt, wie Sicherheit von jeder Schicht abhängt, und wie auch sehr teure Quellcode-Prüfung im Ergebnis unentdeckte Schwachstellen haben können.“

Erratum:
Wir hatten ursprünglich geschrieben, Kernel 2.6.30 sei für RHEL 5 ausgeliefert worden. Das stimmt nicht. Richtig ist vielmehr: Der Exploit funktioniert für Kernel 2.6.30 und neuer sowie für den 2.6.18-Kernel in RHEL 5. Der Quellcode des Exploits ist dafür mit unterschiedlichen Optionen zu kompilieren. Wir bedauern den Irrtum.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

WLAN lässt sich nicht einrichten
Werner Hahn, 21.03.2017 14:16, 0 Antworten
Dell Latitude E6510, Ubuntu 16.4, Kabelbox von Telecolumbus. Nach Anklicken des Doppelpfeiles (o...
"Mit Gwenview importieren" funktioniert seit openSuse 42.2 nicht mehr
Wimpy *, 20.03.2017 13:34, 2 Antworten
Bisher konnte ich von Digitalkamera oder SD-Karte oder USB-Stick Fotos mit Gwenview importieren....
Ich habe eine awk Aufgabe und bekomme es nicht so Recht hin
Dennis Hamacher, 10.03.2017 18:27, 1 Antworten
Ich hoffe Ihr könnt mir dabei helfen oder mir zeigen wie der Befehl richtig geschrieben wird. Ich...
Unter Linux Open Suse Leap 42.1 einen Windows Boot/ ISO USB Stick erstellen...
Tim Koetsier, 07.03.2017 15:26, 1 Antworten
Hallo, weiß jemand wie ich oben genanntes Vorhaben in die Tat umsetzen kann ? Wäre echt dankba...
Druckertreiber installieren OpenSuse42.1
Tim Koetsier, 07.03.2017 15:22, 1 Antworten
hallo, kann mir BITTE jemand helfen ich verzweifel so langsam. Habe einen Super Toner von Canon...