Eine lokale Schwachstelle im Linux‑Werkzeugpaket util-linux erlaubt es einem Angreifer, gezielte Denial‑of‑Service‑Angriffe zu initiieren und dabei vertrauliche Informationen auszulesen. Die Lücke betrifft mehrere Versionen des Pakets, das in vielen Server‑ und Desktop‑Umgebungen eingesetzt wird.
Technische Details der SicherheitslĂĽcke
Der Fehler liegt in einer fehlerhaften Eingabeprüfung einer Systemfunktion, die von util-linux genutzt wird. Durch speziell präparierte Parameter kann ein Angreifer Speicherbereiche überschreiben, was zum Absturz des betroffenen Dienstes führt und gleichzeitig Daten aus nicht autorisierten Speicherbereichen preisgibt.
Betroffene Systeme und Versionen
Laut der Meldung des CERT‑Bund sind alle util-linux‑Pakete ab Version 2.33 bis einschließlich 2.38 von der Schwachstelle betroffen. Systeme, die diese Versionen ohne nachträgliche Sicherheitsupdates betreiben, sind potenziell gefährdet.
Empfohlene GegenmaĂźnahmen
Der CERT‑Bund rät Administratoren, unverzüglich die von den jeweiligen Distributoren bereitgestellten Sicherheitspatches zu installieren. Alternativ kann das betroffene Paket temporär deaktiviert oder durch eine Version ersetzt werden, die den fehlerhaften Code nicht enthält.
Auswirkungen und Risikobewertung
Ein erfolgreicher Angriff kann zu einem kurzzeitigen Ausfall kritischer Dienste führen und sensible Daten wie Konfigurationsdateien oder Benutzerinformationen preisgeben. Die Bewertung des CERT‑Bund stuft das Risiko als hoch ein, solange keine Gegenmaßnahmen ergriffen werden.
WeiterfĂĽhrende Informationen
Weitere Details, einschließlich der genauen Exploit‑Beschreibung und der Download‑Links für die Patches, sind im vollständigen Advisory des CERT‑Bund unter der angegebenen URL verfügbar.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Ăśbertragung