Google gibt Schwachstellen im CentOS-Linux-Kernel bekannt, nachdem es versäumt wurde, zeitnahe Fixes herauszugeben

Google Project Zero ist ein Sicherheitsteam, das dafür verantwortlich ist, Sicherheitslücken in den eigenen Produkten von Google sowie in von anderen Anbietern entwickelter Software zu entdecken. Nach der Entdeckung werden die Probleme den Anbietern privat gemeldet und sie haben 90 Tage Zeit, um die gemeldeten Probleme zu beheben, bevor sie öffentlich bekannt gegeben werden. In einigen Fällen wird auch eine 14-tägige Nachfrist gewährt, abhängig von der Komplexität der betreffenden Lösung.

Wir haben die Ergebnisse von Google Project Zero in der Vergangenheit ausführlich behandelt, da es Sicherheitslücken in Software gemeldet hat, die von Google , Microsoft , Qualcomm , Apple und anderen entwickelt wurde . Nun hat das Sicherheitsteam mehrere Schwachstellen im Kernel von CentOS gemeldet.

Wie im technischen Dokument hier ausführlich beschrieben, erfuhr der Sicherheitsforscher von Google Project Zero, Jann Horn, dass Kernel-Korrekturen, die an Stable Trees vorgenommen wurden, nicht auf viele Enterprise-Versionen von Linux zurückportiert werden. Um diese Hypothese zu validieren, verglich Horn den CentOS Stream 9-Kernel mit dem stabilen Stable Tree linux-5.15.y. Für diejenigen, die es nicht wissen, CentOS ist eine Linux-Distribution, die Red Hat Enterprise Linux (RHEL) am nächsten kommt, und ihre Version 9 basiert auf der Linux-5.14-Version.

Wie erwartet stellte sich heraus, dass mehrere Kernel-Fixes nicht in älteren, aber unterstützten Versionen von CentOS Stream/RHEL bereitgestellt wurden. Horn bemerkte weiter, dass Project Zero für diesen Fall eine Frist von 90 Tagen für die Veröffentlichung eines Fixes setzt, aber in Zukunft möglicherweise noch strengere Fristen für fehlende Backports festlegt:

Ich melde diesen Fehler dieses Mal innerhalb unserer üblichen 90-Tage-Frist, da unsere Richtlinie derzeit keine strengeren Bestimmungen für Fälle vorsieht, in denen Sicherheitskorrekturen nicht zurückportiert werden. Wir könnten unsere Behandlung dieser Art von Problemen in Zukunft ändern.

Es wäre gut, wenn Upstream-Linux und -Distributionen wie Sie eine Lösung finden könnten, um Ihre Sicherheitsfixes synchron zu halten, damit ein Angreifer, der schnell einen netten Speicherbeschädigungsfehler in CentOS/RHEL finden möchte, diesen nicht einfach finden kann Fehler im Delta zwischen Upstream Stable und Ihrem Kernel. (Mir ist klar, dass hier wahrscheinlich viel Geschichte steckt.)

Red Hat akzeptierte alle drei von Horn gemeldeten Fehler und wies ihnen CVE-Nummern zu. Das Unternehmen hat es jedoch versäumt, diese Probleme in der vorgesehenen Frist von 90 Tagen zu beheben, und daher werden diese Schwachstellen von Google Project Zero veröffentlicht. Nachfolgend finden Sie einige allgemeine Details:

• CVE-2023-0590: Ein Use-after-free-Fehler im Linux-Kernel aufgrund einer Race-Condition, mittlerem Schweregrad, lokaler Angriffsvektor
• CVE-2023-1252: Use-after-free-Schwachstelle im Ext4-Dateisystem des Linux-Kernels, die es einem Angreifer ermöglicht, das System zum Absturz zu bringen oder Berechtigungen zu eskalieren, mittlerer Schweregrad, lokaler Angriffsvektor
• CVE-2023-1249: Use-after-free-Fehler im Core-Dump-Subsystem des Linux-Kernels, der schwer auszunutzen ist, aber einem Angreifer ermöglichen kann, das System zum Absturz zu bringen, geringer Schweregrad, lokaler Angriffsvektor

Nachdem die Details dieser Sicherheitslücken in bestimmten Linux-Kernels nun öffentlich sind, bleibt abzuwarten, ob Red Hat unter Druck gesetzt wird, sie so schnell wie möglich zu beheben.