DFN-CERT-2025-2711: Sicherheitslücken im Linux-Kernel: Kritische Fehler ermöglichen die Ausführung beliebigen Codes

Drei vom DFN-CERT (Advisory 2025-2711) als kritisch eingestufte Kernel-Schwachstellen ermöglichen die Ausführung beliebigen Codes, sofortigen Root-Zugriff und einen permanenten Absturz, wenn der Kernel nicht gepatcht wird. Patches für Red Hat Enterprise Linux 8.8 EUS werden bereits veröffentlicht, Debian, Ubuntu, SUSE, Fedora, Arch Linux und deren Derivate bleiben jedoch bis zur Installation des Updates anfällig. Pull-Request-Exploits reihen sich auf GitHub schneller aneinander als ein sudo pacman -Syu und verwandeln jede Sekunde Verzögerung in digitales Russisches Roulette. Administratoren, die noch CentOS-, Oracle Linux- oder Mandriva-VMs in einer Ecke ihres Rechenzentrums vergraben haben, tun gut daran, den Kompressor auszupacken: Jeder lokale Benutzer kann nun den Kernel zwingen, Schadcode zu laden und die Maschine in einer DoS-Schleife festzuhalten. In der Produktion wird die erste Verteidigungslinie ohne Diskussion als „Neustart nach dem Patch“ bezeichnet. Kernel Panic garantiert: Die Anatomie von CVE-2025-39104, 39105 und 39106 Die drei Schwachstellen liegen in der Seitentabellenverwaltung und dem BPF-Subsystem. Ein geschickt manipulierter Systemaufruf kapert einen Kernel-Pointer, gibt eine noch verwendete Seite frei und schreibt anschließend den Speicherbereich neu, um eine Reverse Shell einzuschleusen. Komplexer ist lediglich ein 120-zeiliges Skript und Standardkontozugriff.

Noch bösartiger: Die BPF-Schwachstelle umgeht SELinux und AppArmor, indem sie ihre Spuren in persistenten BPF-Maps verbirgt. Anschließend führt der Angreifer einen ROP aus, der selbst unter gehärtetem Kali Linux die vollständige Kontrolle auslöst. Der letzte Nagel im Sarg: Eine Race Condition verursacht einen Null-PTR in der IO-Warteschlange und friert das System ein.

Warum der Live-Patch kein Luxus ist

Canonical veröffentlicht bereits einen Livepatch für Ubuntu-LTS-Images, das Modul behebt jedoch nur Speicherbeschädigungen. Ohne Neustart bleibt der BPF-Vektor geladen. Die SUSE-Maintainer kündigen den Kernel-Standard 5.14.21-150500.55.49 an, während Fedora auf 6.8.7-200.fc41 aktualisiert, um die dreifache CVE zu neutralisieren.

Zuordnung der betroffenen Distributionen und Paketverfügbarkeit

Red Hat und CentOS Stream liefern den Kernel 4.18.0-553.9 für RHEL 8 und 9. Debian bietet bereits linux-image-6.1.0-14-amd64 in Sid an, während die stabile Version noch auf die Rückportierung wartet. Unter Arch Linuxbehebt das Paket linux 6.9.2.arch1 alle Probleme, die benutzerdefinierten DKMS-Module müssen jedoch ebenfalls neu kompiliert werden. Wiederaufgebaute Oracle Linux- und Mandriva-Umgebungen sowie sogar einige Netzwerkgeräte mit einem LTS 5.15-Kernel müssen manuell gepatcht werden. In öffentlichen Clouds werden Amazon AMI- und Azure Gallery-Vorlagen ersetzt, ein Snapshot von gestern ist jedoch weiterhin nutzbar.

Höchste Priorität: Kritische Server und zustandslose Container

Exponierte Workloads – Reverse-Proxys, Kubernetes-Knoten, Hypervisoren – müssen zuerst neu gestartet werden. Unter Fedora CoreOS oder SUSE MicroOS behebt ein rpm-ostree-Upgrade mit anschließendem Neustart das Problem in 90 Sekunden, sodass kaum Zeit bleibt, die Journald-Protokolle zu überprüfen.

Minderungsmaßnahmen vor dem globalen Neustart

Für alle, die tagsüber nicht neu starten können, empfiehlt DFN-CERT, BPF JIT über sysctl kernel.bpf_jit_enable=0 zu deaktivieren und /tmp als noexec zu mounten. Dadurch werden zwar zwei Überwachungs-Plugins beschädigt, aber es ist weniger dramatisch als eine Root-Shell. Die Durchsetzung von SELinux und die Anwendung einer strengen Begrenzung für unprivileged_userns_clone reduzieren das Angriffsfenster auf Debian und Ubuntu. Auf Oracle Linux und CentOS ist ein partieller Kpatch vorhanden, der den Race Condition jedoch nicht behebt. Daher ist es wichtig, den Neustart sofort zu planen.

Nach dem Patch: Überprüfungen und IOC-Suche

Ein dmesg | grep „Exploit-Versuch“ reicht selten aus. Die Überwachung verwaister BPF-Maps, Änderungen an /proc/sys/kernel/unprivileged_bpf_disabled und verdächtiger ptrace-Aufrufe liefert Hinweise. Das Hinzufügen einer eBPF-Filterregel, die nicht auf der Whitelist stehende Helfer verbietet, blockiert die meisten öffentlichen PoCs.

In der Produktion ermöglicht die Protokollierung des Updates im CMDB-Tool und das Auslösen eines Nessus-Schwachstellenscans die Zertifizierung der Konformität vor dem nächsten ISO 27001-Audit. Nach dem Patchen des Kernels nehmen SSH-Sitzungen ihren normalen Ablauf wieder auf, und der Pinguin kann sich wieder in Ruhe dem Kompilieren des restlichen Systems widmen.

Quelle:

www.linux-magazin.de