myGully.com

myGully.com (https://mygully.com/index.php)
-   News (https://mygully.com/forumdisplay.php?f=390)
-   -   [Software] chwoot: Kritische Linux-Lücke macht Nutzer auf den meisten Systemen zu Root (https://mygully.com/showthread.php?t=8285142)

Draalz 02.07.25 10:19
chwoot: Kritische Linux-Lücke macht Nutzer auf den meisten Systemen zu Root
 
Zitat:
chwoot: Kritische Linux-Lücke macht Nutzer auf den meisten Systemen zu Root

Ein Beispielexploit steht im Netz und funktioniert auf vielen Standardystemen. Admins sollten schnell die bereitstehenden Updates einspielen.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
(Bild: J0hnTV/Shutterstock.com)

01.07.2025, 18:34 Uhr Lesezeit: 4 Min. Security

Von [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Eine kritische Sicherheitslücke klafft in dem Linux-Werkzeug "sudo" und macht unprivilegierte Nutzer im Handumdrehen zu "root", dem Systemverwalter. Grund der Malaise: Ein Fehler in der chroot-Funktion von sudo. Eigentlich soll diese Funktion Benutzer in ihrem Heimatverzeichnis "einsperren", ermöglicht ihnen aber den Ausbruch aus selbigem und die Erweiterung ihrer Rechte. Ein Update steht bereit, Admins von Mehrbenutzersystemen sollten zügig handeln.

Die [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] macht sich einen Fehler in der chroot-Implementation zunutze und heißt deswegen auch im Beispielexploit auch "chwoot" – unsere Überschrift enthält keinen Tippfehler. Zwischen zwei Funktionsaufrufen ruft diese den "Name Service Switch" (NSS) auf, der wiederum die Datei /etc/nsswitch.conf lädt. Der Angreifer kann diese Funktion nun dazu bringen, eine von ihm präparierte Datei mit C-Code (eine dynamische .so-Bibliothek) zu laden und mit Root-Rechten auszuführen.

Kritische Lücke in vielen Versionen

Die Lücke versteckt sich in verschiedenen sudo-Versionen – unklar ist, in welchen genau. Der Entdecker, [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...], konnte nicht alle Versionen testen. Er ist jedoch sicher, die Lücke sei in älteren Versionen vor sudo 1.8.32 nicht enthalten, da der schadhafte Code erst in dieser Version auftauchte. In den von ihm getesteten stabilen Versionen 1.9.14 bis 1.9.17 findet sich der Bug. Er hat die CVE-ID CVE-2025-32463 und eine CVSS-Bewertung von 9,2 (Priorität: "kritisch"). Der Entdecker stellt einen Beispielexploit bereit.

Das macht viele, möglicherweise Millionen Linux-Systeme angreifbar. Ubuntu in Version 24.04.2, (im Advisory als 24.04.1 bezeichnet, tatsächlich ist aber wohl die aktuelle Noble-Ausgabe 24.04.2 gemeint), Fedora 41 und potenziell viele andere Distributionsversionen sind gefährdet. Aktualisierte Pakete gibt es jedoch bereits, unter Ubuntu [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. Sie portieren den Bugfix, der in sudo 1.9.17p1 enthalten ist, in die dort jeweils genutzte sudo-Version. Die aktuell stabile Debian-Version "Bookworm" ist nicht betroffen – ihre sudo-Version ist [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]. Angreifbar sind hingegen [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] und [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...].

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
So schnell kann's gehen: Im Handumdrehen wird ein unprivilegierter Nutzer dank "chwoot" zum Systemadministrator.

Admins sollten also zügig reagieren und die von ihrer Linux-Distribution bereitgestellten Updates einspielen. Dabei sollten sie zudem nicht vergessen, Vorlagen für Cloud-VMs auf den neuesten Stand zu bringen. Eine frisch installierte Ubuntu-VM bei einem großen deutschen Cloudhoster war am späten Nachmittag des 1. Juli 2025 noch anfällig für die Sicherheitslücke, obgleich das aktualisierte Paket bereits bereitstand. Den von Entdecker Mirch bereitgestellten "Proof of Concept"-Exploit konnten wir nachstellen, mussten dafür lediglich einen C-Compiler installieren.

Mehr sudo-Ungemach

Auch an einer weiteren Stelle in sudo fand der Sicherheitsforscher Rich Mirch eine Sicherheitslücke: Sind Kommandos in der Konfigurationsdatei /etc/sudoers auf bestimmte Hosts eingeschränkt, lässt sich diese Beschränkung durch geschickte Kombination mehrerer Kommandozeilenparameter überlisten. Die Lücke mit der CVE-ID 2025-32462 ist jedoch auf einem frisch installierten System mit Standardeinstellungen nicht ausnutzbar. Sie ist daher nur mit einem CVSS-Punktwert von 2,8 und niedriger Priorität eingestuft. Die Lücke lauerte seit 12 Jahren in sudo und ist nun in Version 1.9.17p1 oder neuer behoben. Übrigens anders als ihr "großer Bruder" auch auf Debian GNU/Linux: Dort behebt sudo 1.9.13p3-1+deb12u2 den Fehler.

Update 02.07.2025, 08:06 Uhr

Wir hatten zunächst "die aktuelle Ubuntu-Version 24.04.1" geschrieben und damit die Version aus dem Advisory übernommen. Tatsächlich ist aber 24.04.2 aktuell (und betroffen), danke an unseren Leser für den Hinweis. Weitere Linux-Distros haben wir noch ergänzt.
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
Als langjähriger Debiannutzer hab ich damit nicht viel zu schaffen. Auf jeden Fall sollten aber Benutzer anderer Distributionen und Nutzer von VServern bzw. Servern Obacht geben.

Uwe Farz 02.07.25 11:49
Was Linux Mint Xia betrifft, wurde das bereits vor 4 Tagen gefixt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:22 Uhr.

Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.