Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
cybersecurity

VM-verbeteringen openen elf jaar oud Linux-gat

27 oktober 2016 - 08:413 minuten leestijdAchtergrondSecurity & AwarenessRed Hat
Jasper Bakker
Jasper Bakker

Verbeteringen in technologie voor virtuele memory (VM) hebben een elf jaar oude kwetsbaarheid in Linux opengesteld. Het bekende gat is ooit gepatcht, maar dat is elf jaar geleden weer ongedaan gemaakt.

De kwetsbaarheid is nu geopenbaard en daarbij voorzien van een aansprekende naam: Dirty COW. Het gaat om een mogelijkheid misbruik te maken van de manier waarop de Linux-kernel omgaat met fouten bij copy-on-write (COW). De geheugenbewerking blijkt een zogeheten race condition bug te kunnen hebben waarbij de bedoelde uitkomst van handelingen in een bepaalde volgorde valt te manipuleren. Het gevolg is dat een lokale gebruiker zich hogere rechten kan verschaffen op een kwetsbaar systeem.

Jarenoude exploit

Volgens ontdekker Phil Oester is de kwetsbaarheid (CVE–2016–5195) zeer gemakkelijk te misbruiken, werkt de aanvalsmethode elke keer weer, en is het waarschijnlijk al jaren aan de orde. De exploit die in de praktijk (in the wild) al wordt ingezet, is gecompileerd met het oude GCC 4.8, vertelt hij aan de Britse ict-nieuwssite V3. De 4.8.0-release van de GNU C Compiler (GCC) stamt uit maart 2013. De huidige versie is 6.2 die in augustus dit jaar is uitgekomen, terwijl de 4.8-reeks voor het laatst in juni vorig jaar is bijgewerkt (naar 4.8.5).

Linux-distributeur Red Hat waarschuwt nu dat deze exploit in de praktijk al wordt ingezet door kwaadwillenden. Daarbij worden andere methodes voor hackaanvallen op afstand gecombineerd met deze kwetsbaarheid die lokale gebruikers beheertoegang tot een Linux-computer geven. Overigens moet het misbruikte lokale gebruikersaccount al wel bestaan op het doelsysteem. Proof-of-concept code is openlijk beschikbaar.

Beperking en bijwerking

Red Hat heeft al schadebeperkende maatregelen bekendgemaakt, die beheerders zelf kunnen doorvoeren. Deze zogeheten mitigation heeft echter wel bijwerkingen. Het schakelt namelijk de ptrace-functionaliteit uit waarmee bijvoorbeeld debuggers en antivirussoftware andere processen in het geheugen kunnen analyseren.

‘Deze programma’s zijn dus niet operationeel’, meldt Red Hat-ontwikkelaar Petr Matousek op Bugzilla. Hij merkt nog op dat versies 5 en 6 van Red Hat Enterprise Linux niet vatbaar zijn voor de exploit die al is ingezet door aanvallers. Instructies voor controle en bescherming van andere Linux-distributies zijn online te vinden. De Linux-kernel zelf is afgelopen week voorzien van een patch, dus updaten is het devies.

Theorie wordt praktijk

Linux-schepper Linus Torvalds bevestigt daarbij dat het om een antieke bug gaat, die hij zelf ooit heeft geprobeerd te fixen. In 2005 is deze geheugenfout ontdekt en daarna gepatched, maar dat bleek andere problemen te veroorzaken. Die bijwerkingen betroffen Linux draaiende op S/390-mainframesystemen van IBM en daarom heeft een latere patch (in 2007) de fix van Torvalds ongedaan gemaakt.

Het probleem van de race condition bug was toen een puur theoretische kwestie, aldus Torvalds. De vooruitgang in virtualisatietechnologie (specifiek: de schaalbaarheid van virtueel geheugen) heeft er echter voor gezorgd dat het theoretische probleem een praktisch gevaar is geworden. Dit geldt niet alleen voor Linux-servers vanaf kernel-versie 2.6.22 (uitgekomen in 2007), maar ook voor veel consumentenapparatuur zoals routers en zelfs smartphones. De kwetsbaarheid zou namelijk ook aanwezig zijn in Android, meldt The Register. Het updaten van Android-smartphones is in de praktijk een verhaal apart.

De Dirty COW root-exploit uitgelegd

Meer over

BesturingssystemenC++ExploitsLinuxMalwarePatches

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    Filter
    OpinieCloud & Infrastructuur

    Ddos-aanvallen (en waarom L3-filtering niet optioneel is)

    ActueelInnovatie & Transformatie

    Kort: Innovatiezone in Almere, grote Defensiedeal Pro Warehouse (en meer)

    AchtergrondSecurity & Awareness

    Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

    compliance
    OpinieGovernance & Privacy

    Waarom Dora- en NIS2-compliance beginnen met assetmanagement

    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    Eén reactie op “VM-verbeteringen openen elf jaar oud Linux-gat”

    1. Jaap van Belkum schreef:
      28 oktober 2016 om 10:59

      Dus dankzij IBM is de exploit weer in Linux teruggekomen. Vreemde zaak.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs