ClickCease Patches für CVE-2021-33909 werden ausgeliefert

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Patches für CVE-2021-33909 werden bereitgestellt [UPDATE #3 27/07]

21. Juli 2021. TuxCare PR Team

CVE-2021-33909 wurde am 20. Juli bekannt gegeben. Sie beschreibt eine Schwachstelle in der Linux-Dateisystemschicht, die bei erfolgreicher Ausnutzung zu einer lokalen Privilegienerweiterung führen kann. Der anfällige Code wurde offenbar in einem Commit aus dem Juli 2014 (Linux 3.16) eingeführt. Jede Distribution, auf der diese oder eine spätere Version läuft, ist für dieses Problem anfällig, wobei bereits Proof-of-Concept-Code für mehrere gängige Distributionen erstellt wurde.

TuxCare's KernelCare ist dabei, Patches für alle unterstützten und betroffenen Distributionen fertigzustellen, und Abonnenten werden diese sehr bald erhalten.

[UPDATE] Patches werden jetzt für die folgenden Linux-Distributionen bereitgestellt:

  • CloudLinux 6h und 7
  • OEL 6, 7 und 8
  • RHEL 6, 7 und 8
  • CentOS 6, 6-plus, 7 und 8
  • AlmaLinux 8
  • Ubuntu Bionic, Focal und Xenial
  • SL 6
  • openVZ

[UPDATE #2] Die folgenden Distributionen haben ebenfalls Patches, die jetzt ausgeliefert werden:

  • CloudLinux 8
  • Debian 8, 9
  • OEL6-uek4, OEL7-uek4, OEL7-uek5, OEL7-uek6, OEL8-uek6

[UPDATE #3] Die folgenden Verteilungen werden nun ebenfalls ausgeliefert:

  • Debian 10, Debian 10-Wolke

Schauen wir uns diese Schwachstelle genauer an, um zu verstehen, wie sie einen ausnutzbaren Pfad zu Root für praktisch jede Distribution darstellt.

Aus der Sicht eines Angreifers lässt sich dies ausnutzen, indem er eine (sehr) tiefe Verzeichnisstruktur erstellt und diese dann einbindet und löscht. Durch diese Aktionen ist es möglich, einen bestimmten Wert in einen Kernelpuffer zu schreiben, auf den normale Benutzer ansonsten nicht zugreifen können.

Zu diesem Zeitpunkt hat der Angriff also nur eine Speicherbeschädigung zur Folge. Um dies in eine Erhöhung der Privilegien umzuwandeln, müsste der Angreifer ein scheinbar harmloses und speziell präpariertes Stück Code laden. Ein BPF-Filter (ein besonders aktiver Ort, an dem Schwachstellen gefunden werden) könnte beispielsweise alle normalen Prüfungen des Kernels bestehen, aber so gestaltet sein, dass er den BPF-Filtercode leicht verändert, wenn die Speicherbeschädigung auftritt. Dies würde es ihm ermöglichen, bestimmte Kernel-Funktionen aufzurufen, die für den Code eines normalen Benutzers normalerweise nicht zugänglich sind.

Die Angriffsmethode ist zwar kompliziert, aber es ist bereits erfolgreicher PoC-Code verfügbar, der einen schlüsselfertigen Exploit für diese Sicherheitslücke bietet. Sie können den Exploit PoC hier in Aktion sehen. Es ist zu erwarten, dass dieser Code oder eine Variation davon in den nächsten Tagen oder Wochen in allgemein zugänglichen Exploit-Frameworks verfügbar sein wird, so dass dies ein trivialer Weg ist, um Root in einem anfälligen System zu erreichen.

Im Kernel kann der Code, der zu diesem Verhalten führt, auf eine bestimmte vorzeichenlose 64-Bit-Ganzzahlvariable zurückgeführt werden, die über einen bestimmten Codepfad in eine 32-Bit-Ganzzahl umgewandelt wird. Ein Wert, der in die ursprüngliche 64-Bit-Variable passen könnte, führt dann zu einem Überlauf in der kleineren Variable, wodurch das Problem ausgelöst wird.

Dem CVE-Bericht zufolge wurde die Schwachstelle durch Commit 058504ed ("fs/seq_file: fallback to vmalloc allocation") im Juli 2014 eingeführt und ist in allen Kernel-Versionen seit 3.16 vorhanden. Distributionen wie Ubuntu 20.04, 20.10 und 21.04 sowie Debian 11 und Fedora 34 haben sich bereits als anfällig erwiesen, und es wird erwartet, dass alle anderen Distributionen mit Kernel-Versionen der letzten sieben Jahre ebenfalls anfällig für diese Schwachstelle sind.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter