CVE Archives - credativ®

Sicherheitslücke im nftables Teil des Linux-Kernel

Eine durch den Sicherheitsforscher Aaron Adams bekannt gewordene Lücke im Linux Kernel ermöglicht lokalen Benutzern root-Berechtigungen oder Code mit höheren Privilegien auszuführen. Eine detaillierte Fehleranalyse sowie ein Proof of Concept Exploit ist auf der OSS-Security Mailingliste zu finden. In der Common Vulnerabilities and Exposures Datenbank wird dieser Fehler unter der ID CVE-2022-1966 geführt. Eine Gewichtung der Kritikalität nach CVSS 3.x durch NIST steht derzeit noch aus.

Der Fehler kann auf den meisten Linux-Systemen mit aktivierter Kernel-Komponente nftables ausgenutzt werden. Ein Angreifer benötigt auf dem Zielsystem einen lokalen Benutzer und die Berechtigung nftables-Regeln zu erstellen, um die Lücke auszunutzen.

Mitigation

Für Distributionen, die noch keinen abgesicherten Kernel bereitstellen, empfehlen wir folgende Mitigation. Durch diese Maßnahme können Sie Ihre Systeme kurzfristig teilweise absichern, in dem unberechtigten Benutzern das Erstellen von nftables-Namespace-Regeln verboten wird. Dies kann im laufenden Betrieb erfolgen, benötigt keinen Reboot und ist. Falls die Funktion von Network Namespaces in nftables Regeln nicht benögit wird, kann diese Funktionalität für berechtigte Nutzer abgeschaltet werden:


$ echo kernel.unprivileged_userns_clone=0 | sudo tee -a /etc/sysctl.d/99-disable-unpriv-userns.conf

$ sudo sysctl -p /etc/sysctl.conf

Stand 2022-06-09, 10:30 Uhr: Derzeit gibt es bereits gepatchte Kernelpakete von einigen Distributionen. Wir erwarten, dass die übrigen Distributionen Updates im Laufe des Tages zur Verfügung stellen werden. Wir empfehlen diese, sobald verfügbar, einzuspielen und einen Reboot auszuführen, damit die Lücke nicht ausgenutzt werden kann. Sobald der Patch installiert ist, kann die Datei /etc/sysctl.d/99-disable-unpriv-userns.conf wieder entfernt werden.

 

Linux-Distributionen

Distribution Link
Debian https://security-tracker.debian.org/tracker/CVE-2022-1966
Ubuntu https://ubuntu.com/security/CVE-2022-1966
Red Hat/CentOS/Rocky Linux/AlmaLinux https://access.redhat.com/security/cve/cve-2022-1966
Arch Linux https://security.archlinux.org/CVE-2022-1966
SLES/OpenSUSE (OpenSUSE 15.x = SLES 15 SPx) https://www.suse.com/security/cve/CVE-2022-1966.html