CVE-2016-0728 – Security-Lücke im Linux-Kernel heißer gekocht als gegessen

Millionen von Servern und Android-Geräten betroffen! Security-Lücke im Linux-Kernel! Alles Scheiße! CVE-2016-0728 leitet den Weltuntergang ein!

So geisterte es die letzten Tag durch das Internet und alle sind in Panik ausgebrochen. Das Problem ist CVE-2016-0728 oder die Security-Lücke im Linux-Kernel, mit der sich ein Angreifer durch Rechteausweitung root-Rechte verschaffen könnte. Alle Kernel-Varianten seit 3.8 sind betroffen.

Ich bin gester mit Absicht nicht auf den Zug aufgesprungen, weil ich mir in aller Ruhe erst einmal sämtliche Quellen und Berichte durchlesen wollte.

Genauer gesagt geht es darum dass man den Keyring oder Schlüsselbund des Kernel ausnutzen kann und zwar durch einen Integer-Überlauf. In diesem Schlüsselbund werden Schlüssel, Informationen zur Authentifizierung und so weiter gespeichert.

CVE-2016-0728 ist nicht so dramatisch wie viele tun

Die Lücke ist blöd und muss gepatcht werden, das ist richtig. Allerdings isst man nicht so heiß, wie man kocht und ganz so einfach ist eine Rechteausweitung dann auch wieder nicht.

Auf jeden Fall ist die Lücke abgeschwächt, wenn SMEP und SMAP oder SELinux bei Android im Spiel sind. Möglicherweise lässt sich der Exploit dann gar nicht durchführen.

Bei ZDNET kann man schön nachlesen, warum es sich überhaupt um einen sogenannten 0-Day Exploit handelte. Die Entdecker der Kernel-Lücke haben den Exploit veröffentlicht, obwohl sie wohl genau gewusst haben, dass die Kernel-Entwickler bereits einen Patch in der Mache haben – der in der Zwischenzeit auch ausgerollt wurde.

CVE-2016-0728 ist immer noch als reserviert markiert – aber jemand musste Pauken und Trompeten auspacken

Ironischerweise bedankt man sich auch noch bei Red Hat für die Zusammenarbeit, sticht dem Linux-Distributor und den Kernel-Entwicklern dann aber das Messer in den Rücken, indem man die Lücke durch die Welt posaunt, ohne den Patch abzuwarten.

Mindestens ein Entwickler muss darüber ziemlich sauer sein. Er sagte, dass die Security-Firmen solche Dinge aufblasen, nur um ihren Namen, den noch nie jemand gehört hat, in die Presse zu bringen. Wäre ja auch nicht das erste Mal. Die versuchen sich zu profilieren und die Entwickler haben Kopfschmerzen. Die feine Art ist das auf jeden Fall nicht.

Dann ist es nicht so, dass man irgendwo draufklickt und man hat root-Rechte. Selbst die Entdecker der Sicherheitslücke geben an, dass es mit einer Intel Core i7-5500 CPU ungefähr 30 Minuten dauert, bis der Exploit fruchtet. Dazu benötigt man dann noch ein Anwender-Konto.

Bei den meisten Geräten mit Android 4.4 und höher funktioniert der Angriff laut ZDNET so oder nicht, da die meisten Smartphones oder Tablets nicht einmal annähernd so viel Arbeitsspeicher haben, wie für den Exploit notwendig ist.

Irgendwo anders habe ich noch etwas gelesen, was mich zum Schmunzeln brachte (ich weiß aber nicht mehr wo): “Wenn eine Lücke wirklich schlimm ist, dann bekommt sie einen Namen wie das bei OpenSSL und Heartbleed der Fall war!”

Natürlich sind Millionen Systeme betroffen und theoretisch angreifbar – in der Praxis minimiert sich dieser Exploit aber ziemlich. Nichtsdestotrotz muss/sollte man die Security-Lücke natürlich schließen.

Also keine Panik – System patchen und dann ist alles wieder gut.