Dirty Frag-lek in Linux maakt lokale aanvaller root op meeste distributies

[Captain Kirk]

Een nieuwe kwetsbaarheid in Linux met de naam Dirty Frag maakt lokale aanvallers op meeste distributies root. Volgens de ontdekker van het probleem zijn er nog geen updates beschikbaar. Op Hacker News melden lezers dat het erop lijkt dat er inmiddels fixes voor de Linux-kernel zijn verschenen. Dirty Frag combineert twee verschillende kernel-kwetsbaarheden waardoor het mogelijk is om in het geheugen systeembestanden aan te passen. Een lokale aanvaller kan hierdoor zijn rechten naar die van root verhogen. Het probleem raakt vooral multi-tenant Linux omgevingen en shared-kernel containers.

De kwetsbaarheid lijkt op de recent ondekte Copy Fail-kwetsbaarheid. Dit beveiligingslek was ook de reden voor onderzoeker Hyunwoo Kim om zijn onderzoek te doen. Copy Fail bevindt zich in de algif_aead module van de Linux-kernel. Systemen die maatregelen tegen Copy Fail hebben genomen zijn nog steeds kwetsbaar voor Dirty Frag, zo stelt de onderzoeker, omdat zijn aanval niet vereist dat de kwetsbare algif_aead module beschikbaar is. De Dirty Frag-aanval succesvol is getest op Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed 7.0.2, CentOS Stream 10, AlmaLinux 10, Fedora 44.

Kim merkt op dat het embargo over de bekendmaking van de kwetsbaarheid is geschonden. Daarop heeft hij besloten de details en proof-of-concept exploitcode te publiceren. Patches zijn echter voor nog geen enkele distributie beschikbaar, aldus de onderzoeker. Die adviseert gebruikers om de modules waarin de twee kwetsbaarheden aanwezig zijn te verwijderen en de page cache op te schonen. Op Hacker News melden lezers dat erop lijkt dat voor de verschillende Linux-kernels inmiddels fixes zijn verschenen.

 

bron: https://www.security.nl