Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Google Project Zero deckt Schwachstellen im CentOS-Linux-Kernel auf
Rohan Timalsina
11. April 2023. TuxCare-Expertenteam
Google Project Zero enthüllt CentOS Linux-Kernel-Fehler, nachdem es nicht gelungen ist, rechtzeitig vor Ablauf der 90-Tage-Frist Korrekturen zu veröffentlichen.
Google Project Zero ist ein Sicherheitsteam, das Sicherheitslücken nicht nur in den Produkten von Google, sondern auch in der Software anderer Anbieter aufspüren soll. Sobald die Probleme entdeckt werden, werden sie privat an die Anbieter gemeldet, die dann 90 Tage Zeit haben, sie zu beheben, bevor die Probleme veröffentlicht werden.
Je nachdem, wie kompliziert die Lösung ist, kann in einigen Fällen auch eine 14-tägige Nachfrist gewährt werden.
CentOS-Kernel-Schwachstellen aufgedeckt
Wie in diesem technischen Dokument erläutert, entdeckte Jann Horn, ein Sicherheitsforscher bei Google Project Zero, dass Korrekturen, die an stabilen Kernel-Bäumen vorgenommen wurden, nicht in zahlreiche Unternehmensversionen von Linux zurückportiert wurden.
Um dies zu überprüfen, hat Horn die CentOS Stream 9 Kernel mit dem stabilen linux-5.15.y Baum verglichen. Für diejenigen, die es nicht wissen: CentOS ist eine Linux-Distribution, die am engsten mit Red Hat Enterprise Linux (RHEL) verwandt ist, und seine Version basiert auf der linux-5.14-Version.
Wie erwartet wurde festgestellt, dass verschiedene Kernel-Änderungen in älteren, aber immer noch unterstützten Versionen von CentOS Stream/RHEL nicht implementiert worden waren. Horn fügte hinzu, dass Project Zero in diesem Fall eine Frist von 90 Tagen für die Veröffentlichung einer Korrektur gesetzt habe. In Zukunft könnten jedoch strengere Fristen für fehlende Backports gesetzt werden.
Alle drei von Horn gemeldeten Schwachstellen wurden von Red Hat genehmigt und mit CVE-Nummern versehen. Dennoch hat das Unternehmen diese Probleme nicht innerhalb von 90 Tagen behoben, so dass Google Product Zero diese Schwachstellen offenlegt.
Schwachstellen Details
Eine Use-after-free-Schwachstelle wurde in qdisc_graft in net/sched/sch_api.c innerhalb des Linux-Kernels entdeckt, die aus einem Race-Condition-Problem resultiert. Diese Sicherheitslücke führt zu einem Denial-of-Service-Problem.
Eine Use-after-free-Schwachstelle wurde im Ext4-Dateisystem des Linux-Kernels entdeckt. Diese Schwachstelle ermöglicht es einem lokalen Benutzer, einen Systemabsturz herbeizuführen oder möglicherweise seine Privilegien zu erweitern. Sie wird möglicherweise nur ausgelöst, wenn ein Ext4-Dateisystem eingehängt wird.
Das Core-Dump-Subsystem des Linux-Kernels enthält eine Use-after-free-Schwachstelle, die zum Absturz des Systems führen kann. Der Schweregrad dieses Fehlers wird als gering eingestuft, da es für einen Angreifer schwierig ist, ihn auszuführen. Dies liegt daran, dass der Angreifer den verwundbaren Code zweimal ausführen muss, um die Schwachstelle auszunutzen.
CentOS zielt darauf ab, eine stabile, sichere und kostenlose Alternative zu kommerziellen Betriebssystemen wie Red Hat Enterprise Linux (RHEL) zu bieten. Es wird von Organisationen und Einzelpersonen auf der ganzen Welt eingesetzt, darunter auch von verschiedenen Unternehmen und Regierungsbehörden.
Die Entdeckungen von Sicherheitslücken im CentOS-Kernel geben daher Anlass zur Sorge. Es bleibt abzuwarten, ob Red Hat unter Druck stehen wird, diese Sicherheitsprobleme so schnell wie möglich zu beheben, nachdem die Details dieser Schwachstellen in Linux-Kerneln bekannt geworden sind.
CentOS-Kernel-Patching
Die CentOS-Community muss dringend handeln, um die Schwachstellen zu beheben und eine weitere Ausnutzung zu verhindern. Dazu gehört die frühestmögliche Veröffentlichung von Patches für die Schwachstellen und die Verabschiedung von Maßnahmen, um die Geschwindigkeit und Effizienz des Patching-Prozesses in Zukunft zu verbessern.
Eine der besten Methoden für das Kernel-Patching ist KernelCare Enterprise von TuxCare, das bei den Cybersecurity Excellence Awards 2023 in der Kategorie Security Automation mit Gold ausgezeichnet wurde. KernelCare Enterprise liefert automatisch die neuesten CVE-Patches für alle gängigen Linux-Distributionen, ohne dass der Kernel neu gestartet werden muss. Ihr Team muss also weder Systeme neu starten noch auf geplante Wartungsfenster warten, um einen Schwachstellen-Patch anzuwenden.
Wenn Sie wissen möchten, wie KernelCare Patches für Sicherheitslücken bereitstellt, sehen Sie sich den Live-Patching-Prozess an.
Schlussfolgerung
Die Entdeckung von Schwachstellen im CentOS Linux-Kernel ist ein Weckruf für die Open-Source-Gemeinschaft. Sie unterstreicht die Bedeutung eines gemeinschaftlichen und konzentrierten Ansatzes zur schnellen und effizienten Identifizierung und Behebung von Sicherheitslücken. Darüber hinaus ist es für andere Open-Source-Projekte von entscheidender Bedeutung, Lehren aus diesem Vorfall zu ziehen und solide Verfahren zur Behebung von Schwachstellen und zur rechtzeitigen Bereitstellung von Korrekturen einzuführen.
Die Quellen für diesen Artikel sind unter anderem ein Artikel von Neowin.
