Kernel

Die Schwachstelle steckt im Dateisystem OverlayFS des Linux-Kernels. OverlayFS legt mehrere Verzeichnisse übereinander zu einer gemeinsamen Sicht zusammen. Der Fehler liegt darin, dass beim Setzen von Datei-Capabilities – also gespeicherten Sonderrechten einer Datei – nicht korrekt geprüft wird, ob diese im Zusammenhang mit sogenannten User-Namespaces überhaupt gültig sein dürfen. User-Namespaces erlauben es unprivilegierten Nutzern, innerhalb eines abgegrenzten Bereichs erhöhte Rechte zu besitzen. In Kombination mit einer Anpassung, die unprivilegierte Overlay-Einhängungen zulässt, kann ein lokaler Angreifer ohne besondere Berechtigungen einer Datei manipulierte Capabilities zuweisen. Wird diese Datei anschließend ausgeführt, erlangt er höhere Systemrechte, als ihm zustehen. So lässt sich eine normale Benutzerkennung zu weitreichender Kontrolle über das System ausweiten. Betroffen sind Linux-Systeme, auf denen unprivilegierte User-Namespaces und entsprechende Overlay-Einhängungen aktiviert sind.