Entspannt Euch mal – Kernel Schwachstelle in 6.1.x++

Da gewisse Kreise mal wieder trollgleich Häme verbreiten wollen, nur weil eine Schwachstelle im Kernel ist, muß man das mal für die etwas einordnet, die nicht soviel davon verstehen, wie Sicherheitslücken einzuordnen sind.

Entspannt Euch mal – Kernel Schwachstelle in 6.1.x++

Für Desktopbenutzer ist eine Kernelschwachstelle erstmal keine besondere Lücke. Sie muß geschlossen werden, keine Frage, aber besonders kritisch ist die erst mal nicht. Bevor jemand eine Kernellücke ausnutzen kann, muß er i.d.R. Code auf dem PC ausführen können und der wird idealerweise direkt mit dem Kernel reden müssen. Von der Regel gibt es natürlich Ausnahmen, z.b. wenn die Lücke im Netzwerk-, USB- oder Bluetoothstack ist. Diese sind von außen erreichbar, sonst wären sie ja sinnlos 😉

Für Euch bedeutet das, der Angreifer muß eine Lücke in einem der unzähligen Programme auf Eurem PC ausnutzen können um seinen Code auszuführen. Dazu muß da aber erst einmal eine Lücke vorhanden sein. Und ganz realistisch betrachtet, wenn da eine Lücke drin ist, braucht der Angreifer keinen Kernel Exploit mehr. Ihr seid i.d.R. der einzige Benutzer, was bedeutet: er hat jetzt Vollzugriff auf Eure Daten. Was kann er noch mehr erreichen?

Das Extra-Mehr eines Kernelexploits

Das Extra-Mehr besteht darin, daß wenn Ihr schlau wart und Eure Bankgeschäfte mit einem anderen Benutzer macht, er da dann auch dran kommt. Bedingung für das Extra-Mehr ist also, daß Ihr Euch auch extra angestrengt habt um Eure Sicherheit zu erhöhen. Einige tun das, ich habe auch mehrere Benutzer die Jobs erledigen, aber die meisten Benutzer da draußen haben das nicht.

Deswegen solltet Ihr mehr Angst vor einer Schwachstelle in Chrome und Firefox haben, als vor dieser Kernellücke, denn die befindet sich im Speichermanagement des Kernels. Eine sogenannte Use-After-Free-Schwachstelle. Dabei gibt ein Prozess Speicherbereiche frei, die aber von einem anderen Programm/Codeteil noch aufgerufen werden, also eigentlich noch in Benutzung sind. Bekommt ein anderes Programm Zugang dazu, kann es ggf. Code in dem Kontext des den Speicherblock freigegebenen Programmes ausführen lassen.. Das geht auch in die andere Richtung, da also z.b. der Angreifer einen Stück Speicher mit Code versieht, freigibt und ein anderer Prozess führt den dort befindlichen Code aus( eher seltenes Szenario).

In einer Multi-Benutzer-Umgebung

Die Crux an dem Kernelexploit hier ist jetzt, daß die Besitzer des Prozesses der den Exploit nutzen will und des angegriffenen Programmes nicht gleich sein müssen. D.b. der Angreifer kann ein x-beliebiger User im System sein, und der angegriffene Prozess kann Root gehören. In der Konstellation wird es also richtig gefährlich, weil der angreifende Benutzer, so seine Rechte ausweiten kann. Auf einem Server muß man sich daher große Gedanken zu dieser Lücke machen, auf dem heimischen Desktop eher nicht.

Also, entspannt Euch ein bisschen. Ich fahr jetzt auf eine Party 😉

Fedora & Kernel 6.3.4 und die nichtendenwollende Geschichte mit Nvidia

Ich bin ja gestern Abend schon gewarnt worden, daß das Kernel 6.3.4 Update Probleme bringen würde, aber hey, ich hatte doch damals im Januar, als Kernel 6.1.5 plötzlich mit schwarzem Bildschirm bootete, schon alles in Grub so geändert, daß es bereits funktioniert hat! Trotzdem hatte ich heute morgen einen schwarzen Bildschirm vor mir. Tja.

„Ups, we did it again“ ?

Ich erspare Euch mal viel Geschreibsel zur Suche, aber Ihr solltet vorher das hier gelesen haben:

Fedora: „Nein, es ist keine Verschwörung die User zum HW Wechsel zu bekommen.“

Heute morgen hatte ich also genau das gleiche Fehlerbild: schwarzer Bildschirm beim Booten. Passworteingabe blind.

Die Ursache war eine falsch zusammengebaute BLS Config, die sich aus den Grubdefaults ( /etc(/default/grub ) eine Kommentarzeile reingezogen hat, die aber seit dem Januarvorfall auskommentiert ist:

GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=“$(sed ’s, release .*$,,g‘ /etc/system-release)“
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
#GRUB_TERMINAL_OUTPUT=“console“
#GRUB_CMDLINE_LINUX=“vconsole.font=latarcyrheb-sun16 rd.luks.uuid=luks-ed009ed3-118c-465d-9b89-9b2a4f5cc3f3 rd.luks.uuid=luks-9d2595b2-a35c-48c1-a839-bb54c1a96597 rhgb quiet splash audit=0 nouveau.modeset=0 rd.driver.blacklist=nouveau modprobe.blacklist=nouveau nvidia-drm.modeset=1 initcall_blacklist=simpledrm_platform_driver_init“
GRUB_CMDLINE_LINUX=“vconsole.font=latarcyrheb-sun16 rd.luks.uuid=luks-ed009ed3-118c-465d-9b89-9b2a4f5cc3f3 rd.luks.uuid=luks-9d2595b2-a35c-48c1-a839-bb54c1a96597 rhgb quiet splash audit=0 nouveau.modeset=0 rd.driver.blacklist=nouveau modprobe.blacklist=nouveau“
GRUB_DISABLE_RECOVERY=“true“
GRUB_VIDEO_BACKEND=vbe
GRUB_FONT_PATH=/boot/grub2/fonts/unicode.pf2
GRUB_GFXMODE=0x11b
GRUB_GFXPAYLOAD_LINUX=“keep“
GRUB_TERMINAL_OUTPUT=“gfxterm“
#GRUB_GFXMODE=“1440x900x32″
GRUB_ENABLE_BLSCFG=true

Nachdem das aus der BLS Configdatei für Kernel 6.3.4 raus war, funktionierte es auch wieder. Entscheidend war das hier „initcall_blacklist=simpledrm_platform_driver_init„, welches den Init vom SimpleDRM System verhindert hat. Scheinbar wurde endgültig der Support der alten Treiber, die durch die falsche gebaute Config immer noch benutzt wurden, endgültig aus dem Kernel entfernt. Damit die BLS Config dann wieder richtig geschrieben wird, muß die Kommentarzeile raus und grub2-mkconfig ausgeführt werden. Da in der /boot/grub2/grub.cfg aber die richtige Zeile drinstand, ist das schon ein sehr kurioser Fehler vom grub2-mkconfig.

Für Euch: Immer genau hinsehen, ob etwas wirklich so ist, wie es sein sollte.

Linux am Dienstag – Programm für den 17.1.2023

Bei Linux am Dienstag schauen wir uns heute mal an, wie von einem dummen Fehler, zu einer Verschwörung und wieder zurück kommt. Das alles schauen wir uns Live on Disk mit dem Fedora Bug des Monats im Kernel 6.1.5 an, der mal kurz Nvidia’s Proparitären Treiber ausgeknockt hat.

Linux am Dienstag – Programm für den 17.1.2023

Dienstag Abend ab 19 Uhr geht es u.a. um:

  • OpenSource – Apachen gegen Apache – Kulturelle Aneignung oder Bewunderung?
  • Sicherheit – Centos Web Panel mit RCE
  • Fedora – Kernel“fehler“ schaltet Nvidia Grafik ab (Marius)
  • Krypto – FTX – 5 Milliarden Dollar zurückgeholt
  • Datenschutz – Google vom Kartelamt abgemahnt

und andere IT-Newsbeiträge aus aller Welt. Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .Hinweis: Die bisherigen Vorträge findet man unter https://linux-am-dienstag.de/archiv/ .