Sicherheitslücken in Apport und systemd-coredump entdeckt: CVE-2025-5054 und CVE-2025-4598.
Die Qualys Threat Research Unit (TRU) hat zwei lokale Sicherheitslücken in Apport und systemd-coredump entdeckt, die die Offenlegung von Informationen ermöglichen.
Bei beiden Problemen handelt es sich um Race-Condition-Schwachstellen. Die erste (CVE-2025-5054) betrifft den Core-Dump-Handler von Ubuntu, Apport, und die zweite (CVE-2025-4598) zielt auf systemd-coredump ab, den Standard-Core-Dump-Handler unter Red Hat Enterprise Linux 9 und der kürzlich veröffentlichten Version 10 sowie unter Fedora. Diese Race Conditions ermöglichen es einem lokalen Angreifer, ein SUID-Programm auszunutzen und Lesezugriff auf den resultierenden Core-Dump zu erhalten.
Qualys TRU hat für bestimmte Betriebssysteme Proof-of-Concepts (POCs) für diese Schwachstellen entwickelt. Diese POCs zeigen, wie ein lokaler Angreifer den Core-Dump eines abgestürzten unix_chkpwd-Prozesses (der zur Überprüfung der Gültigkeit des Passworts eines Benutzers dient) ausnutzen kann, der standardmäßig auf den meisten Linux-Distributionen installiert ist, um Passwort-Hashes aus der Datei /etc/shadow zu erhalten.
Was sind systemd-coredump und Apport (Crash Reporting unter Linux)?
Sehen wir uns diese Frameworks, die potenziellen Auswirkungen der entdeckten Schwachstellen, die Sicherheitslücken und die Maßnahmen zur Minderung des Risikos durch diese Schwachstellen genauer an.
- systemd-coredump: systemd-coredump erfasst automatisch „Core Dumps“ (Momentaufnahmen des Arbeitsspeichers eines Prozesses), wenn ein Programm abstürzt. Diese Dumps können gespeichert oder im Systemjournal abgelegt werden, sodass sie später mit Debugging-Tools wie GDB leicht überprüft werden können. Core Dumps sind zwar äußerst hilfreich für die Diagnose von Softwareproblemen, können jedoch sensible Informationen enthalten. Daher ist der Zugriff auf die Dump-Dateien standardmäßig auf Root beschränkt, und Administratoren können weiter festlegen, welche Daten aufgezeichnet werden. Die meisten systemd-basierten Distributionen verwendeten systemd-coredump, darunter Fedora, RHEL 8+, CentOS, SUSE, openSUSE, Arch Linux und andere.
- Apport: Apport ist das in Ubuntu integrierte Framework für die Fehlerberichterstattung (und wird in Ubuntu-Derivaten verwendet). Wenn eine Anwendung abstürzt, sammelt es relevante Details – Stack-Traces, Log-Dateien, Paketinformationen – und bündelt sie in einem Bericht, den Entwickler analysieren können. Diese Berichte können persönliche oder Systemdaten enthalten.
Mögliche Auswirkungen der Sicherheitslücken
Tools wie Apport und systemd-coredump, die für die Behandlung von Absturzberichten und Core-Dumps in Linux-Systemen entwickelt wurden, sind seit jeher von Schwachstellen geplagt, die Unternehmen ernsthaften Sicherheitslücken aussetzen. Zwar haben moderne Abhilfemaßnahmen wie die Weiterleitung von Core-Dumps an sichere Speicherorte, die Implementierung einer strengen PID-Validierung und die Beschränkung des Zugriffs auf SUID/SGID-Core-Dateien diese Risiken verringert, doch Systeme mit veralteten oder nicht gepatchten Versionen bleiben weiterhin ein bevorzugtes Ziel für die von Qualys TRU offengelegten Schwachstellen.
Die Ausnutzung von Schwachstellen in Apport und systemd-coredump kann die Vertraulichkeit erheblich gefährden, da Angreifer sensible Daten wie Passwörter, Verschlüsselungsschlüssel oder Kundeninformationen aus Core-Dumps extrahieren könnten. Zu den Folgen zählen Betriebsausfälle, Reputationsschäden und mögliche Verstöße gegen Vorschriften. Um diese vielfältigen Risiken wirksam zu mindern, sollten Unternehmen proaktive Sicherheitsmaßnahmen ergreifen, indem sie Patches und Abhilfemaßnahmen priorisieren, eine robuste Überwachung durchsetzen und die Zugriffskontrollen verschärfen.
Betroffene Versionen der Sicherheitslücken
- Bei Apport ist Ubuntu 24.04 anfällig; betroffen sind Versionen von „Apport“ bis 2.33.0 und alle Ubuntu-Versionen seit 16.04.
- Bei systemd-coredump sind Fedora 40/41 und Red Hat Enterprise Linux 9 sowie das kürzlich veröffentlichte RHEL 10 anfällig.
- Debian-Systeme sind standardmäßig nicht anfällig, da sie keinen Core-Dump-Handler enthalten, es sei denn, der Benutzer installiert manuell das Paket systemd-coredump.
Schritte zur Risikominderung
Der Parameter /proc/sys/fs/suid_dumpable steuert, ob SUID-Programme bei einem Absturz Core-Dumps erzeugen können. Wenn diese Option aktiviert ist, könnte ein Angreifer einen Absturz auslösen, um sensible Daten im Speicher (Passwort-Hashes, Schlüssel) auf die Festplatte zu schreiben. Um diese Schwachstellen zu mindern, deaktiviert die Einstellung „0“ Core-Dumps für alle SUID-Programme und verhindert, dass alle SUID-Programme und Root-Daemons, die Berechtigungen herabsetzen, im Falle eines Absturzes analysiert werden. Dies kann jedoch nur als vorübergehende Lösung dienen, wenn der anfällige Core-Dump-Handler selbst nicht sofort gepatcht werden kann. Durch diese Änderung wird die Interpreter-Scan-Funktion deaktiviert.
Um Core-Dumps für SUID zu deaktivieren, setzen Sie /proc/sys/fs/suid_dumpable mit Root-Rechten auf 0.
Die technischen Details zu diesen Schwachstellen finden Sie online.
