Dirty COW – Neue Kernel-Sicherheitslücke

Dirty COW – Neue Kernel-Sicherheitslücke

Vor wenigen Tagen wurde mit Dirty COW (CVE-2016-5195) , eine neue, kritische Sicherheitslücke im Linux Kernel bekannt. Durch einen Fehler im Kernel-Code ist es einem Angreifer möglich, Speicher zu überschreiben, den er eigentlich nur lesen dürfte. Auf diese Weise kann ein Angreifer weitergehende Rechte auf einem System erhalten.

Was bedeutet das?

Ein Angreifer könnte sich auf anderem Wege, beispielsweise über eine unsichere Webseite, einen Zugang auf einen Server verschaffen. Da jede Webseite auf unseren Servern mit getrennten Benutzern betrieben wird, kann der Angreifer nun nur diese eine Webseite manipulieren. Durch Dirty COW kann der Angreifer nun das gesamte System übernehmen und somit weit größeren Schaden anrichten.

Wie reagieren wir in solchen Fällen?

Nach Bekanntwerden einer Sicherheitslücke prüfen wir sofort, ob bereits ein neues Programmpaket oder eine neue Kernelversion veröffentlicht wurde, die das Problem behebt. Ist dies nicht der Fall, evaluieren wir weitere Maßnahmen, um das Sicherheitsproblem kurzfristig zu entschärfen und können so oftmals die Möglichkeiten eines potentiellen Angriffs reduzieren.
Sobald dann eine aktualisierte Version der Software verfügbar ist, die das Problem behebt, installieren wir diese zunächst auf einem Testsystem. Hier laufen verschiedene automatisierte Tests ab, mit denen wir sicherstellen, dass das neue Programmpaket unsere Anforderungen erfüllt. Ist dies der Fall starten wir einen Roll-out. Das heißt wir informieren unsere Kunden über eine notwendige Downtime, priorisieren die Systeme nach Gefährdung und individuellen Kundenwünschen und führen die System-Aktualisierung anschließend durch.

Und im konkreten Fall?

Im konkreten Fall wurde der Fehler am Donnerstag, den 19.10., bekannt, am Freitag, 20.10., wurde die neue Kernel-Version 4.4.26 veröffentlicht. Ab Freitag Nachmittag haben wir den neuen Kernel auf unseren Test-Systemen getestet und am 22.10. beschlossen, diesen auszurollen. Bis auf wenige Systeme, bei denen Downtimes auf Kundenwunsch terminiert wurden, hatten wir alle Server bereits am 25.10. mit dem neuen Kernel versehen.