Kritisk 0-dags sårbarhet i Linuxkjernen

Publisert: 20.01.2016 | Sist endret: 11.01.2017

Utnyttelse av sårbarheten kan gjøre det mulig å få eskalerte brukerrettigheter i en mengde berørte Linux-/Android-baserte operativsystemer. Systemet kan dermed krasjes eller man kan kjøre programmer som administrator. En rekke Android-enheter, millioner av servere og stasjonære er utsatt.

Sårbarheten tillater en integer overflow i nøkkelringfunksjonen brukt av prosesser. Ved en suksessfull overflow kan brukeren få en prosess til å referere til et skript i stedet for nøkkelen som var tildelt. Dette vil i praksis kunne gi brukeren administrative rettigheter i systemet. Sårbarheten gjelder for både 32bit- og 64bit-operativsystemer.

Berørte systemer:

  • Linuxkjerne-versjon 3.8 og senere.
  • En rekke nyere Android-versjoner [8]. Sikkerhetsmekanismen SELinux vil dog gjøre aktiv utnyttelse vanskeligere.

NSM NorCERT ikke kjent med at sårbarheten har blitt utnyttet i angrep, men vi anser det som en mulighet da det allerede har blitt publisert proof-of-concept-kode [3].

Det har per nå kun blitt publisert oppdateringer til forskjellige versjoner av Ubuntu [3][6] og Debian [4]. RedHat melder om at Enterprise Linux versjon 4, 5 og 6 ikke er sårbare, men at versjon 7 er sårbar. Det er ikke publisert noen patch til Enterprise Linux (RHEL) foreløpig [7].

NSM NorCERT anbefaler å oppdatere berørte systemer så raskt det lar seg gjøre og så lenge det er en oppdatering tilgjengelig.

  1. http://perception-point.io/2016/01/14/analysis-and-exploitation-of-a-linux-kernel-vulnerability-cve-2016-0728/
  2. https://threatpost.com/serious-linux-kernel-vulnerability-patched/115923/
  3. https://gist.github.com/PerceptionPointTeam/18b1e86d1c0f8531ff8f
  4. http://www.ubuntu.com/usn/usn-2870-1/
  5. https://security-tracker.debian.org/tracker/CVE-2016-0728
  6. http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0728.html
  7. https://access.redhat.com/security/cve/CVE-2016-0728
  8. http://www.databreachtoday.com/zero-day-flaw-found-in-linux-a-8808