Manche Sicherheitslücken sind schlimm, andere sind schlimmer. Definitiv in die zweite Kategorie gehört ein nun unter dem Namen "Dirty Pipe" bekannt gewordener Fehler im Linux-Kernel: Kann sich doch darüber nicht nur jeder User Root-Rechte holen – der Bug ist vielmehr auch trivial auszunutzen.

Details

Der Fehler steckt dabei im sogenannten Pipe-Mechanismus, der unter vielen Unix-Systemen zur unidirektionalen Kommunikation zwischen Prozessen verwendet wird. Angreifer können sich darüber Schreibzugriff auf Dateien verschaffen, die sie sonst nur lesen können.

Denkbar wäre damit etwa eine Beschädigung des Systems oder das Einschmuggeln von Schadcode. Vor allem aber kann damit auch der Eintrag für den Root-User in /etc/passwd verändert werden – womit es möglich ist, sich selbst Root-Rechte zu verschaffen. Damit gibt es dann praktisch uneingeschränkten Zugriff auf das System.

Spurensuche

Entdeckt wurde die Lücke vom Softwareentwickler Max Kellermann. Der Name "Dirty Pipe" ist eine Anspielung auf eine bekannte Linux-Lücke namens "Dirty Cow", die vor einiger Zeit für Aufregung gesorgt hat.

Weitere Details zu den technischen Hintergründen liefert Kellerman in einem eigenen Blog-Posting. Wichtig ist dabei eine Information: Der Fehler wurde mit Linux 5.8 eingeschleppt, ältere Versionen des Kernels sind also nicht betroffen. Linux-Distributionen wurden vor etwas mehr als einer Woche informiert, entsprechende Updates sollten bereits verfügbar sein oder bald folgen.

Updaten, jetzt

Für Systemadministratorinnen empfiehlt sich jedenfalls ein baldiges Aktualisieren sämtlicher betroffenen Systeme. Entsprechender Exploit-Code kursiert nämlich bereits und funktioniert nicht nur einfach, sondern auch zuverlässig.

Während also Linux-Distributionen gewohnt schnell reagieren, muss sich erst zeigen, wie andere auf Linux-basierende Systeme reagieren. Immerhin kommt der Linux-Kernel als Basis für zahlreiche Systeme zum Einsatz – von Smartphones über Smart TVs bis zu Geräten aus dem Bereich des Internet der Dinge. Die "gute" Nachricht: Viele diese Geräte setzen üblicherweise auf dermaßen veraltete Linux-Kernel-Versionen, dass eine "Dirty Pipe"-Attacke dort nicht funktioniert.

Pixel 6 und Galaxy S22 betroffen

So sind etwa unter Android auch nur die aktuellsten Geräte betroffen. Das erste Smartphone, das einen ausreichend neuen Kernel nutzt, war das vor einigen Monaten veröffentlichte Pixel 6 von Google. Mittlerweile sind aber auch andere Geräte mit Linux 5.10 auf den Markt gekommen – allen voran die neuesten Smartphones und Tablets von Samsung. Für all diese gibt es noch keine Updates, insofern sind sie also derzeit über diesen Root-Exploit angreifbar.

Wann die betroffenen Android-Hersteller nachziehen, gilt es abzuwarten. Üblicherweise sind hier die Prozesse erheblich langsamer als in der Welt der klassischen Linux-Distributionen. Angesichts dessen, dass Google aber selbst erst vor rund zwei Wochen informiert wurde, dürfte es wohl frühestens mit dem April-Update in einem Monat so weit sein – außer man schiebt noch ein Notfall-Update ein.

Kombination

Betont werden muss, dass die Lücke lediglich lokal ausnutzbar ist. Das ist ein Trost – aber auch nur ein begrenzter. Immerhin kann so eine Lücke ja mit anderen Bugs kombiniert werden, über die Angreifer auf das Gerät kommen. Und diese sind meist leichter zu finden – etwa in populären Apps oder Browsern. (Andreas Proschofsky, 8.3.2022)