Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und veröffentlichte einen Konzepttest, der es einem lokalen Benutzer ermöglicht, Root auf Arch Linux Systemen mit spezifischen Bedingungen zu klettern. Obwohl der Fehler bereits im Kernel korrigiert wurde, macht die Verfügbarkeit des PoC das Risiko für unpatched oder schlecht konfigurierte Maschinen real.
Die Schwachstelle liegt in der Nullkopierstrecke des RDS-Subsystems (Reliable Datagram Sockets). Im Allgemeinen kann die Funktion, dass "pinnea"-Benutzerseiten Referenzen verlieren, wenn eine Mid-Operation auftritt; dass doppelt freigegeben (doppelfrei) kombiniert mit Interaktion mit festen io _ uring Puffer können in einer Überschrift des Cache von Seiten und schließlich in der Speichersteuerung, die eine Shell mit hohen Privilegien zu erreichen vermögen. V12 erklärt den technischen Vektor und veröffentlichte den Code in seinem Repository, was es den Verteidigern erleichtert, die Ausbeutung zu verstehen und leider für Angreifer, es zu revidieren: Erklärung und PoC von V12.
Es ist wichtig zu betonen, dass der Betrieb nicht trivial. Es erfordert, dass das RDS-Modul geladen wird, dass io _ uring im Kernel, das Vorhandensein eines lesbaren SUID-binary und die x86 _ 64 Architektur für die enthaltene Nutzlast zur Verfügung steht, was die Angriffsfläche deutlich reduziert. V12 weist darauf hin, dass unter den geprüften gemeinsamen Distributionen das RDS-Modul nur standardmäßig auf Arch Linux aktiviert wird, so dass die Besonderheit der Standardkonfiguration das Risiko in dieser bestimmten Distribution erhöht.
Das Patch, das den Fehler korrigiert, wurde bereits an den Kernelbaum gesendet; Administratoren und Benutzer sollten das Kernel-Update auf verfügbare Versionen mit dieser Korrektur priorisieren. Das Original-Patch ist verfügbar, um zu überprüfen, welche Zeilen geändert wurden und bestätigen Sie die Aufnahme in Kernel-Versionen in: Patch Detail auf lore.kernel.org. Apply the patch or update to the kernel version verteilt durch seine disc ist die letzte Maßnahme.
Für Systeme, die nicht sofort gepatelt werden können, gibt es eine praktische Minderung: Laden Sie das RDS-Modul herunter und blockieren Sie seine zukünftige Belastung, indem Sie eine Datei in / etc / modson.d / erstellen, die das Einfügen verhindert. Ein effektives Beispiel ist, rmmod rds _ tcp rds und schreiben in / etc / modsonden.d / pinheft.conf Linien installieren rds / bin / false und installieren rds _ tcp / bin / false. Dieser Eingriff verhindert die Verwendung des RDS-Vektors, muss jedoch ausgewertet werden, weil er Netzwerkfunktionalitäten, die vom Modul abhängig sind, deaktivieren kann.
Jenseits des Patches und der technischen Minderung heben die wiederholte Entstehung lokaler Kletterfehler im Kernel und die öffentliche Veröffentlichung von PoC eine praktische Lektion hervor: die Belichtung der Angriffsfläche reduzieren. Dazu gehören die Überprüfung und Minimierung von SUID-Binaries, die Deaktivierung unnötiger Kernel-Module, die Steuerung von Systemsicherheitsparametern (z.B. Sekcomp- und grsecurity-Richtlinien, wenn verfügbar) und die Anwendung von zumindest privilegierten Prinzipien in Multiuser-Umgebungen und Cloud-Servern.
Organisationen müssen auch die Erkennung und Reaktion integrieren: Spuren ausbeutender Versuche lassen den Unterschied zwischen einem enthaltenen Vorfall und einer Eskalation zu machen. Überprüfung von Kernel-Logs, Audits von Zugriff und Warnungen im Zusammenhang mit io _ uring, ungewöhnliche Belastung von Modulen oder Prozessabbrüchen können helfen, verdächtige Aktivität zu erkennen. Die CISA-Agentur hält für den Kontext über die globale Bedrohung und andere kletternde Sicherheitslücken, die Aufmerksamkeit erregen, Warnungen und Kataloge von Sicherheitslücken, die in der Wildnis ausgebeutet werden; siehe ihre Erklärung zur jüngsten Welle der LPES: Mitteilung von CISA.
Schließlich, angesichts der Veröffentlichung von PoC und der Geschwindigkeit, mit der die gleiche Art von Misserfolg gezeigt wurde (DirtyDecrypt, DirtyCBC, Copy Fail, unter anderem), meine Empfehlung für fortgeschrittene Administratoren und Benutzer ist zu priorisieren proaktive Wartung: Aktualisierung von Kernel- und Distributionssicherheits-Patches, Prüfung und Minimierung von SUID-Modulen und Binaries und Anwendung temporärer Minderungen, wenn es nicht möglich ist, sofort zu parken. Technische Transparenz des Patches und PoC erleichtert die Verteidigung, reduziert aber auch die Anmutszeit; frühe Aktion ist der Schlüssel.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...