Fehler bei der Linux-Absturzberichterstattung (CVE-2025-5054, 4598) legen Passwort-Hashes offen

Qualys beschreibt die kritischen Schwachstellen CVE-2025-5054 und CVE-2025-4598, die Linux-Absturzberichtstools wie Apport und systemd-coredump betreffen. Erfahren Sie, wie Sie Ihre Ubuntu-, Red Hat- und Fedora-Systeme schützen können.

Cybersicherheitsexperten von Qualys haben zwei gravierende Schwachstellen in gängigen Linux- Betriebssystemen entdeckt. Diese Sicherheitslücken, die in den Softwaretools Apport und systemd-coredump gefunden wurden, könnten es Angreifern ermöglichen, sensible Informationen wie Passwort-Hashes von betroffenen Systemen zu stehlen, wie aus einem Bericht von Qualys hervorgeht, der Hackread.com vorliegt.

Die Qualys Threat Research Unit (TRU) identifizierte diese Probleme als Race-Condition- Schwachstellen. Das bedeutet, dass ein Angreifer einen kurzen Moment, in dem ein Programm Daten verarbeitet, ausnutzen kann, um sich unbefugten Zugriff zu verschaffen.

Eine Sicherheitslücke mit der Bezeichnung CVE-2025-5054 betrifft Apport , das in Ubuntu integrierte System zur Absturzmeldung. Dieser Fehler entsteht, weil die Prüfung, ob ein abstürzender Prozess durch einen anderen Prozess in einem Container ersetzt wurde, zu spät erfolgt. Dies könnte dazu führen, dass vertrauliche Informationen an den Container gesendet und möglicherweise weitergegeben werden.

Die zweite Schwachstelle, CVE-2025-4598 , zielt auf systemd-coredump ab, ein ähnliches Tool, das als Standard-Absturzhandler für Red Hat Enterprise Linux 9 und 10 sowie Fedora dient. Diese Schwachstelle ermöglicht es einem Angreifer, einen SUID-Prozess (ein Programm, das mit Sonderberechtigungen ausgeführt wird) zum Absturz zu bringen und ihn schnell durch ein reguläres Programm zu ersetzen.

Wenn der Angreifer dieses Rennen gewinnt, kann er den Core Dump des ursprünglichen SUID-Prozesses lesen und erhält Zugriff auf vertrauliche Daten in seinem Speicher, beispielsweise Kennwort-Hashes aus der Datei /etc/shadow.

Sowohl Apport als auch systemd-coredump dienen der Erstellung von Core Dumps (Schnappschüssen des Programmspeichers bei einem Programmabsturz). Diese Dumps sind für Entwickler bei der Behebung von Softwareproblemen sehr nützlich. Sie können jedoch auch private Informationen wie Passwörter oder Verschlüsselungsschlüssel enthalten. Normalerweise ist der Zugriff auf diese Dateien eingeschränkt, um Missbrauch zu verhindern.

Laut einem Blogbeitrag von Qualys hat die TRU Proof of Concept (POCs) erstellt, die zeigen, wie ein lokaler Angreifer diese Schwachstellen ausnutzen könnte. Konkret wurde gezeigt, wie ein Angreifer ein abgestürztes Programm wie unix_chkpwd (das Benutzerkennwörter überprüft) ausnutzen könnte, um Passwort-Hashes aus der Datei /etc/shadow zu stehlen, einer kritischen Systemdatei mit Benutzerkennwörtern.

„Die Ausnutzung von Schwachstellen in Apport und systemd-coredump kann die Vertraulichkeit erheblich gefährden und ein hohes Risiko darstellen, da Angreifer sensible Daten wie Passwörter, Verschlüsselungsschlüssel oder Kundeninformationen aus Core Dumps extrahieren könnten.“

Saeed Abbasi, Manager Product – Threat Research Unit, Qualys

Viele Linux-Systeme sind von diesen neu entdeckten Schwachstellen betroffen. Bei Apport sind alle Ubuntu-Versionen seit 16.04 anfällig, wobei die Versionen bis 2.33.0 betroffen sind, einschließlich der aktuellen Ubuntu-Version 24.04.

Umgekehrt sind bei systemd-coredump Fedora 40 und 41 sowie Red Hat Enterprise Linux 9 und das neu veröffentlichte RHEL 10 gefährdet. Debian-Systeme sind im Allgemeinen standardmäßig sicher, sofern systemd-coredump nicht manuell installiert wurde.

Die Ausnutzung dieser Schwachstellen kann zu schwerwiegenden Sicherheitsverletzungen führen, die Vertraulichkeit sensibler Daten gefährden und möglicherweise zu Systemausfällen oder Reputationsschäden für Unternehmen führen.

Zum Schutz der Systeme empfiehlt Qualys, den /proc/sys/fs/suid_dumpable parameter auf 0 zu setzen. Dadurch werden Core Dumps für Programme mit Sonderberechtigungen deaktiviert. Dies kann als vorübergehende Lösung dienen, falls keine sofortigen Software-Patches verfügbar sind. Qualys veröffentlicht außerdem neue Security Scan IDs (QIDs), beispielsweise QID 383314, um Unternehmen bei der Erkennung dieser Schwachstellen zu unterstützen.

Jason Soroko , Senior Fellow bei Sectigo, einem in Scottsdale, Arizona, ansässigen Anbieter umfassender Zertifikatslebenszyklusverwaltung (CLM), empfiehlt, das Crash-Management als sichere Datenpipeline zu behandeln, die Dump-Verarbeitung zu isolieren oder zu deaktivieren, Dumps zu verschlüsseln, Daten nach der Triage zu vernichten und die Handler-Kontrollen zu verschärfen, um Risiken zu verringern und zukünftigen Bedrohungen einen Schritt voraus zu sein.