Das SUSE Security Team warnt vor mehreren schweren Sicherheitslücken im Terminal-Multiplexer GNU Screen. Anwender sollten schnellstmöglich auf die fehlerkorrigierte Version 5.0.1 wechseln.
Der Maintainer von GNU Screen hatte das SUSE Security Team gebeten, den Quellcode der Version 5.0.0 auf potenzielle Sicherheitslücken abzuklopfen. Das wiederum wurde gleich mehrfach fündig. Einige der entdeckten Probleme betreffen auch ältere Screen-Versionen.
Privilege Escalation
Zunächst können Angreifer Root-Rechte erlangen, wenn das Linux-System das Programm mit dem Setuid-Bit markiert und die Ausführung als Root gestattet (CVE-2025-23395). Das SUSE Security Team nennt als betroffene Distributionen Arch Linux und NetBSD. Unter Gentoo und FreeBSD existiert die Lücke nur dann, wenn Nutzer explizit die Version 5.0.0 nachinstallieren. Im Fall von Gentoo muss zusätzlich die „multiuser” USE Flag gesetzt sein.
Einfallstor ist das Logging von Screen: Die Funktion „logfile_reopen()“ ignoriert unter bestimmten Umständen für die Nutzer vorgegebene Restriktionen. In der Folge können nicht-privilegierte Nutzer Dateien an beliebigen Stellen ablegen und ihnen „root“ als Besitzer zuweisen. Auf diesem Weg lässt sich etwa Schadcode einschleusen und dann später ausführen. Das SUSE Security Team beschreibt in einem längeren Blog-Post nicht nur den technischen Hintergrund ausführlich, sondern liefert zusätzlich ein Beispiel, wie sich die Lücke ausnutzen lässt.
Noch mehr Lücken
Neben dieser Sicherheitslücke hat das SUSE Security Team noch weitere aufgespürt: So können Angreifer eine Sitzung übernehmen, während man sich mit einer Multi-User Session verbindet (CVE-2025-46802). Der Zugriff ist zwar nur kurzzeitig möglich, dafür darf der Angreifer sowohl mitlesen als auch schreiben.
Des Weiteren erlauben die von Screen erzeugten Pseudo-Terminals (PTY) standardmäßig jedem Nutzer, in jedes PTY auf dem System zu schreiben (CVE-2025-46803). Beim Zugriff auf Sockets liefert Screen unter Umständen Fehlermeldungen, die für Angreifer nützliche Informationen enthalten (CVE-2025-46804). Beim Senden von Signalen können Race Conditions auftreten (CVE-2025-46805) und man kann schließlich noch Screen gezielt zum Absturz bringen.
Problematische Bugfixes
In seinem Bericht über die Sicherheitslücken beschreibt das SUSE Security Team die offenbar etwas glücklos gelaufene Zusammenarbeit mit den Screen-Entwicklern: Nachdem man im Februar die Screen-Entwicklern über die Sicherheitsprobleme informiert habe, hätten die sich für die Behebung der Lücken ein bis zwei Monate ausgebeten. In dieser Zeit behielt das SUSE Security Team stillschweigen.
Die weitere Kommunikation mit den Screen-Entwicklern verlief dann nach eigenen Angaben jedoch nicht besonders gut. Das SUSE Security Team erkannte, dass die Screen-Entwickler „nicht ausreichend vertraut mit dem Screen-Quellcode waren, nicht fähig waren, die [vom SUSE Security Team] gemeldeten Sicherheitsprobleme vollständig zu verstehen und dass sie nicht eindeutig um weitere Hilfe gebeten haben …“. Stattdessen legten sie dem SUSE Security Team nur die eigenen Patches zur Begutachtung vor. Nach weiterem Kommunikationschaos griff das SUSE Secutiry Team schließlich zur Selbsthilfe und schrieb die noch fehlenden Patches kurzerhand selbst.
