Technischer Support
Dokumentation
Anmeldung
Kontakt
Wichtigste Erkenntnisse
- Ubuntu-Schwachstellen können zur Ausweitung von Privilegien, zur Remotecodeausführung und zur vollständigen Kompromittierung des Systems führen, wenn sie nicht behoben werden.
- Angreifer haben es auf Kernel-Fehler, veraltete Pakete und schwache Konfigurationen abgesehen, weshalb regelmäßige Sicherheitsaktualisierungen und Systemhärtung unerlässlich sind.
- TuxCare's KernelCare Enterprise bietetautomatisiertes, rebootloses Patching, das einen kontinuierlichen Schutz gegen Kernel-Exploits ohne Ausfallzeiten gewährleistet.
Ist Ihr Ubuntu-System wirklich sicher? Versteckte Schwachstellen können Datenverletzungen, Ausweitung von Berechtigungen und unbefugtem Zugriff Vorschub leisten. Wer diese Risiken ignoriert, öffnet Angreifern Tür und Tor. In diesem Artikel erfahren Sie, wie Sie Ubuntu-Schwachstellen aufspüren, ihre Auswirkungen verstehen und geeignete Maßnahmen zur Sicherung Ihres Systems ergreifen können.
Eine Liste von Ubuntu-Sicherheitslücken
Wie jedes Betriebssystem ist auch Ubuntu anfällig für Sicherheitslücken, die die Systemintegrität gefährden, sensible Daten preisgeben oder unbefugten Zugriff ermöglichen können. Angreifer nutzen diese Schwachstellen aktiv aus, so dass es wichtig ist, informiert zu bleiben und Systeme umgehend zu patchen.
Nachfolgend finden Sie einige bemerkenswerte Sicherheitslücken, die Ubuntu-Systeme betreffen, sowie deren Auswirkungen und Schweregrad:
CVE-2024-36971
Eine Wettlaufsituation im ATM-Subsystem des Linux-Kernels (net/atm/ioctl.c) verursacht eine Use-after-free-Schwachstelle. Diese Schwachstelle, die in der vcc_recvmsg Funktion, könnte es einem lokalen Angreifer ermöglichen, einen Systemabsturz auszulösen (Dienstleistungsverhinderung) oder potentiell beliebigen Code ausführen.
CVSS v3 Ergebnis: 7.0 Hoch
CVE-2024-36971
Eine Use-after-free-Schwachstelle wurde in der Netzwerkroutenverwaltung des Linux-Kernels entdeckt, insbesondere in der __dst_negative_advice() Funktion. Die Schwachstelle entsteht durch die unsachgemäße Durchsetzung von RCU-Regeln beim Clearing sk->dst_cachewas zu einem potenziellen "Use-after-free"-Szenario führt.
Dieser Fehler könnte es einem Angreifer ermöglichen, das Verhalten von Netzwerkverbindungen zu verändern, indem er die falsche Reihenfolge der Operationen in der Routenverwaltung ausnutzt.
CVSS v3 Wertung: 7.8 Hoch
CVE-2024-0565
In der SMB-Client-Unterkomponente des Linux-Kernels wurde ein Out-of-bounds-Speicherlesevorgang gefunden (fs/smb/client/smb2ops.c). Die Schwachstelle entsteht durch einen Integer-Unterlauf während der Berechnung der Länge von memcpy, was zu einer möglichen Dienstverweigerung (Systemabsturz) oder der Preisgabe sensibler Informationen führen kann.
Ein Angreifer kann diesen Fehler ausnutzen, indem er missgestaltete Server-Befehlsfelder sendet und so ein Out-of-Bounds-Read auslöst.
CVSS v3 Wertung: 7.4 Hoch
Weniger Sicherheitslücke(CVE-2024-32487)
Diese Sicherheitslücke wurde im less-Paket entdeckt, einem Pager-Programm, das dabei hilft, den Inhalt einer Textdatei im Terminal anzuzeigen. Es wurde festgestellt, dass less die Ausführung von OS-Befehlen über ein Newline-Zeichen innerhalb eines Dateinamens aufgrund einer falschen Handhabung von Anführungszeichen in der filename.c Komponente. Diese Schwachstelle ermöglicht Angreifern die Ausführung von beliebigem Code auf Ihrem Computer.
Dies kann passieren, wenn Angreifer Sie dazu verleiten, eine speziell gestaltete Datei zu öffnen. Zur Ausnutzung dieser Schwachstelle müssen in der Regel Dateinamen verwendet werden, die unter der Kontrolle des Angreifers stehen, z. B. aus nicht vertrauenswürdigen Archiven extrahierte Dateien und das Vorhandensein der Umgebungsvariablen LESSOPEN, die in zahlreichen Szenarien standardmäßig gesetzt ist.
CVSS v3 Wertung: 8.6 Hoch
glibc-Sicherheitslücke(CVE-2024-2961)
In der GNU C Library Version 2.39 und früher kann die Funktion iconv() bei der Konvertierung von Zeichenketten in den Zeichensatz ISO-2022-CN-EXT den Ausgabepuffer um bis zu 4 Bytes überlaufen lassen. Dieser Überlauf kann zu einer Dienstverweigerung (Absturz der Anwendung) oder zum Überschreiben benachbarter Variablen führen.
CVSS v3 Ergebnis: 8.8 Hoch
Warum Sie sich über Ubuntu-Schwachstellen Sorgen machen sollten
Sicherheitslücken in Ubuntu, die durch das Auslaufen von Ubuntu oder aus anderen Gründen entstanden sind, stellen ein ernstes Risiko dar, wenn sie nicht behoben werden. Angreifer können Sicherheitslücken ausnutzen, um Remote-Code auszuführen, die Rechte zu erweitern oder sogar Root-Zugriff zu erlangen - und damit die volle Kontrolle über ein System zu erlangen. Dies kann zu Datendiebstahl, Malware-Infektionen und dauerhaften Hintertüren führen, die die langfristige Sicherheit gefährden.
Für Unternehmen gehen diese Risiken über technische Probleme hinaus. Eine einzige ausgenutzte Schwachstelle kann den Betrieb stören, sensible Kundendaten preisgeben und zur Nichteinhaltung von Vorschriften führen. Organisationen, die Branchenstandards wie GDPR, HIPAA oder PCI DSS unterliegen, müssen mit rechtlichen Strafen und Rufschädigung rechnen, wenn sie ihre Systeme nicht schützen.
Der Unterschied zwischen Patch-Management und Schwachstellenmanagement ist wichtig, um Sicherheitsverletzungen zu verhindern und die Systemintegrität zu wahren. Sicherheitsteams sollten ihre Systeme regelmäßig überprüfen, Patches anwenden und automatisierte Tools einsetzen, um Risiken zu erkennen und zu mindern. Indem sie proaktiv bleiben, können Unternehmen ihre Gefährdung durch Bedrohungen minimieren und eine sichere IT-Umgebung aufrechterhalten.
Wie Sie Ubuntu-Schwachstellen in Ihrem System erkennen
Verwendung von OpenSCAP und Ubuntu OVAL
Sie können OpenSCAP und Ubuntu OVAL-Daten verwenden, um nach Sicherheitslücken im Ubuntu-System zu suchen.
Schritt 1: OpenSCAP auf Ubuntu installieren
Führen Sie die folgenden Befehle im Terminal aus, um die neueste OpenSCAP-Version zu installieren.
sudo apt update sudo apt install openscap-scanner openscap-utils
Sie können die installierte Version mit dem folgenden Befehl überprüfen.
oscap -V
Schritt 2: Herunterladen der Ubuntu Oval Data File
Ubuntu OVAL-Dateien sind maschinenlesbare Datensätze, die bekannte Sicherheitslücken und deren Behebungen für bestimmte Ubuntu-Versionen auflisten. Sie helfen dabei festzustellen, ob ein Patch für Ihr System anwendbar ist.
Führen Sie diesen Befehl aus, um die OVAL-Datensatzdatei herunterzuladen.
wget https://security-metadata.canonical.com/oval/com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
Verwenden Sie das Programm bunzip2, um die Datei zu entpacken:
bunzip2 com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
Schritt 3: Erzeugen eines HTML-Schwachstellenberichts
Nun können Sie OpenSCAP verwenden, um den OVAL auszuwerten und einen HTML-Bericht zu erstellen.
oscap oval eval --reportreport.html com.ubuntu.$(lsb_release -cs).usn.oval.xml
Öffnen Sie die Datei report.html in Ihrem Browser, um den Bericht anzuzeigen.
Wie Sie sehen können, wurde festgestellt, dass unser Ubuntu-System nicht die neuesten Sicherheitsfixes für Libxslt, Jinja2, den Linux-Kernel und andere Pakete erhalten hat.
TuxCare Radar
TuxCare Radar macht es Ihnen leicht, Schwachstellen in Ihren Ubuntu-Systemen zu erkennen und diese effektiv zu priorisieren. Seine einzigartige KI-gestützte Bewertungsfunktion berücksichtigt verschiedene Faktoren und hilft Ihnen, den Risikograd jeder Schwachstelle auf der Grundlage des realen Risikos, das sie darstellt, zu bewerten. Es arbeitet nahtlos mit Ihren TuxCare-Patching-Tools zusammen und stellt sicher, dass bereitgestellte Patches automatisch erkannt und korrekt identifiziert werden. Sie erhalten klare, zuverlässige Compliance-Berichte ohne falsch-positive oder -negative Ergebnisse, so dass Sie sich auf die wichtigsten Probleme konzentrieren können.
Wie Sie Ihre Systeme vor Schwachstellen schützen können
Das Erkennen von Schwachstellen ist nur die halbe Miete - es ist entscheidend, sie zu beheben, bevor Angreifer sie ausnutzen können. Hier erfahren Sie, wie Sie Ihre Ubuntu-Systeme schützen können:
Halten Sie Ihre Systeme auf dem neuesten Stand
Canonical stellt regelmäßig Sicherheitskorrekturen für bekannte Schwachstellen bereit. Wenn Sie die Pakete auf die neuesten Versionen aktualisieren, können Sie sich vor Sicherheitslücken schützen.
Um zum Beispiel die oben entdeckten Libxslt-Schwachstellen zu beheben, können Sie diese Befehle ausführen, um das Paket auf die neueste Version zu aktualisieren.
sudo apt update sudo apt install --only-upgradelibxslt1.1
Anschließend können Sie einen neuen HTML-Schwachstellenbericht erstellen, um zu überprüfen, ob die Sicherheitsupdates angewendet wurden.
Sie können auch alle Pakete mit dem folgenden Befehl auf die neuesten verfügbaren Versionen aktualisieren:
sudo apt upgrade
Ein Neustart des Systems ist erforderlich, um Änderungen am Linux-Kernel und anderen wichtigen Paketen vorzunehmen.
KernelCare Enterprise
Das Patchen von Kernel-Schwachstellen erfordert traditionell einen Systemneustart, was zu Ausfallzeiten führt. KernelCare Enterprise von TuxCare löst dieses Problem, indem es Live-Patches auf den Linux-Kernel anwendet, ohne dass ein Neustart erforderlich ist oder Wartungsfenster geplant werden müssen. So können Sie kritische Sicherheitslücken sofort beheben, während Ihre Server weiterlaufen. KernelCare automatisiert außerdem die Patch-Bereitstellung und stellt sicher, dass Sicherheitspatches sofort nach ihrer Verfügbarkeit eingespielt werden - so wird das Risiko manueller Fehler eliminiert.
LibCare für gemeinsam genutzte Bibliotheken
LibCare, ein Add-on zu KernelCare Enterprise, bietet rebootloses Patching für kritische Shared Libraries wie glibc und OpenSSL. Normalerweise erfordern Aktualisierungen dieser Bibliotheken einen Neustart der Dienste oder einen Neustart, aber LibCare automatisiert den Patching-Prozess ohne Neustart.
Bewährte Praktiken zur Sicherheitshärtung
Implementieren Sie diese wichtigen Sicherheitsmaßnahmen, um die Risiken zu minimieren:
Starke Passwörter: Erzwingen Sie komplexe Passwörter und Multi-Faktor-Authentifizierung.
Minimale Dienste: Deaktivieren Sie unnötige Dienste, um die Angriffsfläche zu verringern.
Firewall-Konfiguration: Verwenden Sie UFW oder iptables, um den Netzwerkzugang zu beschränken.
Grundsatz des geringsten Rechtsanspruchs: Gewähren Sie nur notwendigen Berechtigungen für Benutzer und Anwendungen.
Scannen auf Schwachstellen: Verwenden Sie Tools wie TuxCare Radar, um nach Schwachstellen zu suchen.
Eine detailliertere Anleitung zum Abhärten Ihres Ubuntu-Systems finden Sie in unserem umfassenden Blog-Beitrag zum Abhärten von Linux-Systemen.
Bleiben Sie auf dem neuesten Stand, bleiben Sie sicher mit TuxCare
Der Schutz Ihrer Ubuntu-Systeme erfordert ständige Wachsamkeit. Regelmäßige Updates und proaktives Hardening sind unerlässlich. KernelCare Enterprise von TuxCare sorgt dafür, dass Ihre Systeme vor kritischen Kernel-Schwachstellen geschützt bleiben, ohne dass es zu störenden Neustarts kommt. Indem Sie informiert bleiben und Patching-Lösungen wie KernelCare Enterprise verwenden, können Sie eine sichere und widerstandsfähige Ubuntu-Umgebung aufrechterhalten, so dass Sie sich auf das Wesentliche konzentrieren können.
Senden Sie Fragen an unsere Linux-Sicherheitsexperten, um mehr über KernelCare Enterprise zu erfahren und zu sehen, wie es Ihre Ubuntu-Systeme ohne Ausfallzeiten schützen kann.
