Am 21.10.2016 wurde mit CVE-2016-5195 eine Sicherheitslücke entdeckt, die es einem Angreifer erlaubt, Dateien zu ändern bzw. zu überschreiben, für die der Nutzer lediglich Leserechte hat. Wie meistens in solch einem Fall sind besonders all jene Systeme gefährdet, die öffentlich im Internet erreichbar sind. Als gefährlich ist die Sicherheitslücke deshalb einzustufen, da ein Angreifer das System vollständig unter seine Kontrolle bringen kann und Spuren des Angriffs nur sehr schwer zu finden sind. Die Schwachstelle wird inzwischen unter dem Namen Dirty COW geführt. Ursache der Schwachstelle ist eine Race-Condition im Linux-Kernel die dazu führt, dass lokale Nutzer Dateien überschreiben können, für die sie eigentlich nur Leserechte haben.

Mittlerweile liegen von allen verbreiteten Distributionen Kernel-Updates vor, die die Lücke schließen. Ob Ihr System von der Schwachstelle betroffen ist, können Sie wie folgt prüfen:

RHEL / CentOS

Für Red Hat Enterprise Linux bzw. CentOS gibt es ein Werzeug zur Prüfung. Führen Sie dazu folgende Befehle aus:

wget -q -O - https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh | bash

Im Falle der Verwundbarkeit sehen Sie folgende Ausgabe:

Your kernel is 2.6.32-642.3.1.el6.x86_64 which IS vulnerable.

Red Hat recommends that you update your kernel.

Alternatively, you can apply partial mitigation described at https://access.redhat.com/security/vulnerabilities/2706661.

Ubuntu

Prüfen Sie Ihre akutell laufende Kernel Version mittels

uname -rv

Die Ausgabe sieht dann bspw. wie folgt aus:

3.13.0-98-generic #145-Ubuntu SMP Sat Oct 8 20:13:07 UTC 2016

Betroffen sind alle Kernel Versionen die älter sind als:

• 4.8.0-26.28 (Ubuntu 16.10)
• 4.4.0-45.66 (Ubuntu 16.04 LTS)
• 3.13.0-100.147 (Ubuntu 14.04 LTS)
• 3.2.0-113.155 (Ubuntu 12.04 LTS)
• 3.16.36-1+deb8u2 (Debian 8)
• 3.2.82-1 (Debian 7)