Linux Systeme jetzt patchen

Qualys warnt vor Stack Clash Schwachstelle in Linux

, München, Quelle: Qualys | Autor: Herbert Wieler

Qualys warnt vor Stack Clash Schwachstelle in Linux

Unverzüglich patchen

Die vom Qualys Forschungslabor entdeckte Schwachstelle betrifft Linux, OpenBSD, NetBSD, FreeBSD und Solaris auf i386 und amd64. Sie ermöglicht einem Angreifer lokale Privilegien-Erweiterungen zu schaffen um somit alle Root-Rechte am System zu erlangen. Qualys-Mitarbeiter entwickelten bereits sieben Exploits und Machbarkeitsprüfungen für diese Schwachstelle und arbeiteten bereits mit weiteren Anbietern zusammen, um entsprechende Patches bereitstellen zu können.

Qualys empfiehlt allen Nutzern, diese Schwachstelle unverzüglich zu patchen.

Was ist die Stack Clash-Schwachstelle?

Jedes Programm, das auf einem Computer läuft, verwendet einen speziellen Speicherbereich, der sogenannte Stapelspeicher oder Stack. Das Besondere am Stack ist, dass er mit dem Speicherbedarf eines Programmes mitwächst. Wenn dieser Bereich allerdings zu sehr wächst und dabei zu nahe an die anderen Speicherregionen herankommt, kann es passieren, dass das Programm die benötigten Stacks verwechselt. Diese Verwechslung könnte ein Angreifer ausnutzen, indem er den benötigen Stack mit dem anderen überschreibt, oder umgekehrt und somit die Stacks kollidieren lässt – Stack Clash

Die Idee, den Stack mit einem anderen Speicherbereich kollidieren zu lassen ist nicht ganz neu. Die Schwachstelle wurde bereits 2005 zum ersten Mal und dann nochmal im Jahre 2010 ausgenutzt. Nach 2010 hatte Linux zwar einen Schutz gegen diese Exploits eingeführt, die sogenannte „Stack Guard-Page“; allerdings haben die Forscher nun herausgefunden, dass der Stack-Guard Page-Schutz mit nur einigen Kilobytes unzureichend ist und diese Schwachstelle weiterhin ausgenutzt werden kann.

Ein Angreifer, der irgendeinen Zugang zu einem der betroffenen Systeme hat, kann die Stack Clash-Schwachstelle ausnutzen und folgend die vollständigen Root- Privilegien dazu erhalten. Angriffe über Remote Access Applikationen wurden bisher noch nicht erkannt, sind aber nicht ausgeschlossen. Der untersuchte Remote-Anwendung Exim Mail Server, konnte bisher nicht ausgenutzt werden.

Die einfachste und sicherste Art, das eigene System zu schützen, besteht darin, es jetzt zu aktualisieren: Die Forscher arbeiten schon seit Anfang Mai mit den betroffenen Anbietern zusammen um Patches und Updates zur Verfügung zu stellen. Die Exploits und Forschungsergebnisse werden die Forscher erst dann zur Verfügung stellen, nachdem die Nutzer genügend Zeit hatten ihre Systeme zu patchen.

Weitere Informationen zu Stack Clash finden Sie im Qualys Security Advisory