Menü
Alert!

Bug im Linux-Kernel ermöglichte Einbruch in Debian-Server [Update]

vorlesen Drucken Kommentare lesen 896 Beiträge

Ein zum Zeitpunkt des Eindringens unbekannter Root-Exploit in Kombination mit einem geknackten Account eines Debian-Entwicklers ermöglichte vor einigen Tagen den Einbruch in die Server des Debian-Linuxprojekts. Die Ursache für den lokalen Exploit, mit dem sich die Angreifer Root-Rechte verschafften, nachdem sie über das mitprotokollierte Passwort Zugang zu einzelnen Debian-Server bekamen, ist nun entdeckt: Es handelt sich um einen Bug im Linux-Kernel. Ein Fehler im Systemaufruf do_brk() führt dazu, dass ein Programm Zugriff auf den vollen Adressraum des Kernels erhalten kann. Ein Angreifer kann so natürlich auch Root-Rechte erlangen. Dass dieser Bug mitverantwortlich dafür war, dass der Einbruch in die Debian-Server möglich wurde, entdeckten Sicherheitsanalysen von SuSE und Red Hat, nachdem Robert van der Meulen eine ausführbare Datei entschlüsselt hatte, die auf den kompromittierten Systemen gefunden wurde.

Den Kernel-Bug entdeckte Andrew Morton, Kernel-Hacker und künftig für die Wartung des neuen Linux-Kernels 2.6 zuständig, zwar bereits im September. Allerdings kam dies nicht mehr rechtzeitig für den 22er-Kernel der 2.4-Serie. Im Linux-Kernel 2.4.23, der am Wochenende freigegeben wurde, ist der Fehler korrigiert. In der Vorab-Serie des Kernels 2.6 ist er seit der Version test6 behoben. Beim Debian-Projekt wurde der Bug nunmehr für Version 2.4.18-12 der Kernel-Sourcen korrigiert und Version 2.4.18-14 der i386-Kernel-Images. Bei den Kernel-Images für Alpha-Maschinen ist die Version 2.4.18-11 ohne den Fehler.

Zu dem Bug und den notwendigen Updates hat das Debian-Projekt ein Security-Advisory herausgegeben. Auch Red Hat hat bereits in einem Security-Bulletin Hinweise zur Korrektur des Fehlers bei den eigenen Linux-Distributionen veröffentlicht. Ein Advisory von iSEC Security Research bringt zudem technische Details über den Kernel-Bug.

Mit den Informationsdefiziten, die der Debian-Hack aufgezeigt hat, beschäftigt sich auch der aktuelle Kommentar auf heise Security (jk)