ClickCease Patch CVE-2020-14386 ohne Neustart mit KernelCare - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Patch CVE-2020-14386 ohne Neustart mit KernelCare

8. September 2020. TuxCare PR Team

Patch CVE-2020-14368 ohne Neustart mit KernelCare-min (1)

CVE-2020-14386 ist eine neue Kernel-Schwachstelle, die ausgenutzt werden kann, um Root-Rechte von unprivilegierten Prozessen zu erlangen. Sie beschädigt den Speicher in Kerneln, die neuer als 4.6 sind, in verschiedenen Linux-Distributionen, darunter: 

  • Ubuntu Bionic (18.04) und neuere Versionen
  • Debian 9 und 10
  • CentOS 8/RHEL 8

Über Schwachstellen in der Speicherverwaltung

Die Beschädigung des Speichers ist eine der am weitesten verbreiteten, verheerendsten und am häufigsten ausgenutzten Schwachstellen.

Nach den Untersuchungen von Chengyu Song von der Georgia Tech sind die Hauptursachen für diese Art von Anfälligkeit folgende:

  1. Räumliche Fehler: Fehlende Begrenzungsprüfung, falsche Begrenzungsprüfung, Formatstring, Typverwechslung, Integer-Überlauf usw.
  2. Zeitliche Fehler: Use-after-free, uninitialisierte Daten.

Es gibt verschiedene Techniken zur Ausnutzung von Schwachstellen, die den Speicher beschädigen:

  • Angriffe durch Code-Injektion (Modifikation)
  • Angriffe zur Umgehung des Kontrollflusses
  • Datenorientierte Angriffe
  • Informationsleck
  • Uninitialisierte Daten verwenden

Verletzungen der Speichersicherheit und Angriffe auf die Integrität des Kontrollflusses stellen seit mehr als zwei Jahrzehnten eine große Bedrohung für die Sicherheit von Unternehmensinfrastrukturen dar. Heutzutage wird der Bedarf an Schutzmaßnahmen gegen Speicherbeschädigung immer deutlicher. 

 

Wie es identifiziert wurde

Bei der Überprüfung der 5.7-Kernel-Quellen hat Or Cohen von Palo Alto Networks eine mittelschwere Sicherheitslücke(CVE-2020-14386) entdeckt, die zu einer Speicherbeschädigung in (net/packet/af-packet.c) führt.

Der Fehler tritt in der Funktion tpacker_rcv auf. Bei der Berechnung der netoff-Variablen (unsigned short) wird po->tp_reserve (unsigned int) dazu addiert, was netoff überlaufen lassen kann, so dass es einen kleinen Wert erhält. Nur ein lokaler Benutzer mit aktivierter CAP_NET_RAW-Fähigkeit kann diese Sicherheitslücke auslösen.

Der Fehler kann ausgenutzt werden, um Root-Rechte von unprivilegierten Prozessen zu erlangen und beschädigt den Speicher in Kerneln neuer als 4.6 auf verschiedenen Linux-Distributionen, einschließlich Ubuntu Bionic (18.04) und neuer, Debian 9, Debian 10 & CentOS 8/RHEL 8.

 

Wie schädlich sie ist

Wenn die CAP_NET_RAW-Fähigkeit standardmäßig deaktiviert ist (was bei allen RHEL-Produkten der Fall ist), dann kann nur ein privilegierter Benutzer den Fehler auslösen. Aus diesem Grund hat diese Sicherheitslücke einen CVSS v3 Base Score von 6.7 und wird als mäßig schwerwiegend eingestuft.

Das heißt, sie ist nicht leicht auszunutzen, könnte aber unter bestimmten Umständen zu einer Beeinträchtigung der Vertraulichkeit, Integrität oder Verfügbarkeit von Ressourcen führen.

 

Wie man CVE-2020-14386 abschwächt

Sie können eine der folgenden Methoden verwenden, um die Sicherheitslücke CVE-2020-14386 zu entschärfen:

  • Abhilfemaßnahmen des Anbieters anwenden

Redhats Abhilfemaßnahme besteht zum Beispiel darin, die CAP_NET_RAW-Fähigkeit für normale Benutzer und gegebenenfalls für ausführbare Dateien zu deaktivieren. 

Canonical Ubuntus Abhilfe besteht darin, user_namespaces zu deaktivieren: 

sudo sysctl kernel.unprivileged_userns_clone=0

Für diese Methode ist kein Neustart erforderlich.

  • Aktualisieren Sie den Kernel auf die neueste Version, sobald diese verfügbar ist.
    Die einfachste, aber sicher nicht die leichteste Art, dies zu tun, ist, den Server neu zu starten und den Kernel auf die neueste Version zu aktualisieren.

  • Installieren Sie Sicherheits-Patches mit Live-Patching.
    Mit
    einem Live-Patching-System wie KernelCare wird die erforderliche Korrektur ohne Neustart des Servers durchgeführt. Insbesondere mit KernelCare erstellt das KernelCare-Team jetzt Patches, die diese Sicherheitslücke beheben werden. Patches für Ubuntu 18.04 und neuer werden diese Woche erwartet, RHEL- und Debian-Patches folgen.

 

Zeitplan für die Veröffentlichung von KernelCare-Patches:

  • Ubuntu 18.04 und neuere Versionen - Montag, 14. 

KernelCare Patches veröffentlicht:

  • Proxmox 5 & 6
  • Ubuntu 16.04 (Xenial Xerus)
  • Ubuntu 18.04 (Bionic Beaver)
  • Ubuntu 20.04 (Focal Fossa)

Behalten Sie diesen Blogbeitrag und unseren Twitter und Facebook Kanäle, um als Erster zu erfahren, wenn die Patches in den Produktions-Feed aufgenommen werden.

 

Lesen Sie mehr darüber, wie KernelCare andere kritische Schwachstellen behebt:

  1. Zombieload 2: Das KernelCare-Team ist dabei!
  2. SWAPGS: KernelCare-Patches sind auf dem Weg
  3. SACK-Panik und Langsamkeit: KernelCare Live-Patches sind da
  4. RIDL - Ein weiterer MDS-Angriff, vor dem Live-Patching Sie gerettet hätte
  5. Fallout - der MDS-Seitenkanalangriff, der nicht Zombieload ist
  6. QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape-Schwachstelle
  7. CVE-2018-1000199 Patches
  8. Intel DDIO 'NetCat' Sicherheitslücke

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter