Sicherheitslücke im Linux-Kernel erlaubt Root-Zugriff
Ein Fehler im Firewall-Code des Linux-Kernels erlaubt es normalen Nutzern, sich zu Superusern zu machen und so Befehle als Root auszuführen. Der Fehler betrifft die auf den meisten Linux-Systemen aktive Kernel-Komponente NFTables.
![(Source: Dmitry Nikolaev / Fotolia.com)](https://data.netzwoche.ch/styles/np8_full/s3/media/2022/06/13/Dmitry%20Nikolaev-Fotolia_81160888_M.jpg?itok=I59f245x)
Sicherheitsforscher Aaron Adams hat einen Use-after-free-Bug im Linux-Kernel gefunden, der es Nutzerinnen und Nutzern ermöglicht, sich zum Superuser zu machen und sich so einen Root-Zugriff zu verschaffen, wie "Heise" unter Berufung auf einen Eintrag von Adams auf der Mailingliste OSS-Security berichtet. Der Fehler betrifft die auf den meisten Linux-Systemen aktive Kernel-Komponente NFTables – eine Weiterentwicklung der Linux-eigenen Firewall iptables.
Ein Angreifer benötige für eine erfolgreiche Attacke einen lokalen Nutzer auf dem Zielsystem, der zudem eigene NFTables-Namespaces erstellen können muss. Diese Einstellung sei standardmässig zumindest auf aktuellen Ubuntu-Systemen aktiviert. Der Fehler erhielt offenbar aufgrund eines Missverständnisses gleich zwei CVE-IDs, nämlich CVE-2022-1966 und CVE-2022-32250. Die ursprünglich von Red Hat vergebene ID CVE-1022-1966 dürfte sich jedoch durchsetzen, schreibt "Heise". Der Schweregrad in Form eines CVSS-Scores der Lücke ist derzeit noch nicht festgelegt, die Maintainer von Ubuntu und Red Hat stufen ihn allerdings als "hoch" ein.
Die Entwickler des Linux-Kernels haben den Bug im Quellcode bereits behoben – dem Bericht zufolge hat jedoch noch keine Distribution entsprechende Update-Pakete veröffentlicht. Administratoren von Multi-User-Systemen sollten aber jetzt schon handeln, um Angriffe böswilliger Nutzenden zu verhindern.
Für Ubuntu-Distributionen sollen zwei sysctl-Kommandos Abhilfe schaffen. Durch diese verlieren Nutzer die Fähigkeit, NFTables-Namespaces zu erstellen, was das Ausnutzen der Sicherheitslücke unterbinden sollte. Zu den möglichen Nebenwirkungen machen die Autoren von Ubuntu in ihrer Sicherheitsmeldung jedoch keine Angaben, wie "Heise" anmerkt.
Übrigens: Anfang Mai entdeckte Microsoft im Linux-Systemdienst networkd-dispatcher eine Reihe von Schwachstellen. Durch diese hätte sich ein Angreifer Administratorrechte beschaffen und beispielsweise Malware einschleusen können. Inzwischen ist eine abgesicherte Version des Programmpakets verfügbar.
![G.V. Shivashankar entwickelt derzeit am PSI verschiedene Verfahren zur Diagnose und Prognose von Krebs. (Source: Paul Scherrer Institut PSI/Markus Fischer)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/web20231116_shivashankar_0048.jpg?itok=zfzwJ7s8)
KI-Bildanalyse kann Brustkrebs-Stadium besser identifizieren
![(Source: Kasia Derenda / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![(Source: OrsiO / Pixabay.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: Micha Brändli / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![(Source: Pawina / stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/proton_wallet_2024.jpeg?itok=cfViQUYL)
Proton startet mit Kryptowallet
![(Source: NOAA / Unsplash)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)
Google vereint KI und Physik für Wettervorhersagen
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![(Source: freshidea - stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/02/adobestock_416609395.jpeg?itok=lzCTG-o-)
Erfolgreiche Co-Creation im Digital Banking dank Design Thinking
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)
Atos ernennt nächsten CEO
![(Source: DC Studio/Freepik.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)