Debian Kernel Sicherheitsaktualisierungen flickten 26 Sicherheitslücken
Mehrere Verwundbarkeiten wurden im Linux-Kernel entdeckt, die zu Denial-of-Service oder lokaler Privilegienerweiterung führen können. Da die Verwundbarkeiten ernsthaften Schaden verursachen könnten, wurden sie in den am 9. September 2023 veröffentlichten Debian-Kernel-Sicherheitsaktualisierungen gepatcht.
Von den 26 behobenen Schwachstellen haben 14 einen "hohen" Schweregrad gemäß den NVD-Metriken. In diesem Artikel werden wir einige dieser Schwachstellen und ihre Auswirkungen auf das System erörtern.
Schwachstellen in Debian-Kernel-Aktualisierungen behoben
CVSS 3.x Bewertung: 7.0 Hoch
Der btsdio-Bluetooth-Adaptertreiber im Linux-Kernel enthielt eine Use-after-free-Schwachstelle. Ein Angreifer, der die Berechtigung hat, SDIO-Geräte einzufügen und zu entfernen, kann diesen Fehler ausnutzen, um einen Denial-of-Service zu verursachen oder möglicherweise beliebigen Code im Kernel auszuführen.
CVSS 3.x Bewertung: 7.8 Hoch
Eine Use-after-free-Schwachstelle wurde im nefilter-Subsystem des Linux-Kernels beim Flushen von Tabellenregeln entdeckt. Ein Benutzer mit der CAP_NET_ADMIN-Fähigkeit in einem beliebigen Benutzer- oder Netzwerk-Namensraum kann diesen Fehler nutzen, um eine lokale Privilegienerweiterung zu erreichen.
CVSS 3.x Bewertung: 7.8 Hoch
Die Netfilter-Implementierung von PIPAPO (PIle PAcket POlicies) im Linux-Kernel weist einen Use-after-free-Fehler in der Funktion nft_pipao_remove auf. Er kann von einem lokalen Benutzer mit der CAP_NET_ADMIN-Fähigkeit in einem beliebigen Benutzer- oder Netzwerk-Namensraum verwendet werden, um eine Dienstverweigerung (Systemabsturz) zu verursachen oder möglicherweise seine Privilegien zu erweitern.
CVSS 3.x Bewertung: 7.8 Hoch
Ein Use-after-free-Fehler wurde im Netfilter des Linux-Kernels während der Deaktivierung der gebundenen Kette in bestimmten Fällen entdeckt. Ein lokaler Benutzer kann dies nutzen, um seine Privilegien auf dem System zu erweitern.
CVSS 3.x Bewertung: 7.0 Hoch
In der Unix-Domain-Sockets-Komponente des Linux-Kernels wurde eine Use-after-free-Schwachstelle gefunden, die zu einer lokalen Privilegienerweiterung führen könnte.
CVSS 3.x Bewertung: 7.8 Hoch
Der Xen-Netback-Treiber im Linux-Kernel wies ein Pufferüberlaufproblem auf, das es einem Xen-Gast ermöglichen konnte, missgestaltete Pakete zu senden, um einen Denial-of-Service auf dem Virtualisierungshost zu verursachen.
CVSS 3.x Bewertung: 7.8 Hoch
Die Bluetooth-Socket-Behandlung des Linux-Kernels enthielt einen Use-after-free-Fehler, da die Kinder eines sk nicht richtig behandelt wurden.
CVE-2023-3776, CVE-2023-4128, CVE-2023-4206, CVE-2023-4207, CVE-2023-4208
Mehrere Use-after-free-Schwachstellen wurden in den Netzwerkklassifizierern cls_fw, cls_u32 und cls_route des Linux-Kernels gefunden, die ausgenutzt werden könnten, um eine lokale Privilegienerweiterung zu erreichen oder einen Denial-of-Service auszulösen.
Alle diese Schwachstellen wurden in der Linux-Version 6.1.52-1 für die stabile Bookworm-Version behoben.
Abschließende Überlegungen
Die Aufrechterhaltung der allgemeinen Stabilität und Sicherheit eines Debian-Systems hängt von der Aufrechterhaltung der Kernel-Sicherheit ab. Der Linux-Kernel ist die grundlegende Komponente, und seine Verwundbarkeiten können ernsthafte Konsequenzen haben. Daher müssen Sie eine effektive Patch-Management-Strategie implementieren, um Verwundbarkeiten zu minimieren und die Sicherheit des Linux-Kerns zu gewährleisten.
Live-Patching ist die moderne Technologie, um den Kernel ohne Reboots oder Ausfallzeiten zu patchen. KernelCare Enterprise von TuxCare bietet eine automatisierte Live-Patching-Lösung für alle wichtigen Linux-Distributionen, darunter Debian, RHEL, Ubuntu, AlmaLinux, CentOS und weitere. Das bedeutet, dass alle Sicherheitspatches automatisch eingespielt werden, ohne dass der Server neu gestartet werden muss.
Sprechen Sie mit einem unserer Experten, um mehr über KernelCare und seine Arbeitsweise zu erfahren.
Die Quelle für diesen Artikel ist im Debian Security Advisory zu finden.