Linux-Sicherheitslücke erlaubt lokales Login ohne Passwort

Unter dem Kürzel CVE-2016-4484 firmiert eine jetzt bekannt gewordene Sicherheitslücke im Linux-Kernel, die dort schon seit Kernel-Version 2.6 versteckt ist. Betroffen ist der Code des Linux Unified Key Setup (LUKS), der für die Verschlüsselung von Block-Devices wie Festplatten verwendet wird. 

Bei entsprechendem Setup fragt der Rechner beim Booten den Anwender nach dem Passwort für die Entschlüsselung der Partition. Dabei lässt sich der gefundene Bug ausnutzen, indem man dabei etwa 70 Sekunden lang die Return-Taste drückt. Anschließend landet der Anwender in einer einfachen Busybox-Shell mit Root-Rechten, die von Initramfs gestartet wird. Nach Angaben des Bug-Entdeckers Hector Marco ist der Ablauf bei Systemen, die Dracut verwenden, wie etwa Fedora, der gleiche.  

Betroffen von der Sicherheitslücke sind zahlreiche Linux-Distributionen, darunter Debian, Ubuntu, Fedora, Red Hat Enterpise Linux (RHEL), CentOS, Oracle Linux und SUSE Linux Enterprise Server (SLES). Normalerweise setzt das Ausnutzen der Sicherheitslücke einen physischen Zugang zum Rechner voraus, aber in Cloud-Umgebungen ist unter Umständen auch der Bootloader durch ein virtuelles serielles Terminal zugänglich, wie Hector anmerkt.