In einigen Linux-Distributionen hat Jann Horn von Googles Project-Zero-Team eine Sicherheitslücke entdeckt. Diese ermöglicht es, Code mit Root-Rechten auf den betroffenen Systemen auszuführen. Eine Fehlkonfiguration von NTFS-3g, einem Linux-Userspace-Treiber für das Windows-Dateisystem NTFS, der das Kernel-Modul Fuse (Filesystem in Userspace) benutzt, ist Grund für diese Lücke (CVE-2017-0358).

Der Treiber ist laut Horn standardmäßig in Debian und Ubuntu installiert, und das dazugehörige Programm verwendet das Setuid-Bit für den Root-Nutzer. NTFS-3g versucht per Modprobe, das Fuse-Modul nachzuladen, sofern die Anwendung gestartet wird und das Modul nicht geladen ist. An Modprobe könnten Angreifer so weitere Optionen leiten und so eigene Kernel-Module nachladen.

Selbst wenn das Fuse-Modul bereits geladen ist, könne über das Verursachen eines weiteren Fehlers das Ausführen von Modprobe erzwungen werden. Der Fehler kann für lokale Rootzugriffe genutzt werden.

Für Debian und Ubuntu stehen Patches, die den Fehler beheben, bereits zur Verfügung. Nicht von dem Problem betroffen sind die verschiedenen Community- und Enterprise-Distributionen von Suse.

(ts, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE