Kernel

Die Schwachstelle steckt im Linux-Kernel, genauer in der Funktion, die das Schreiben in den sogenannten release_agent von Control Groups (cgroups) in der Version 1 verarbeitet. cgroups dienen dazu, die Ressourcen von Prozessen zu bündeln und zu begrenzen; der release_agent ist ein Mechanismus, der ein vom Administrator hinterlegtes Programm ausführt, sobald eine cgroup geleert wird. Unter bestimmten Voraussetzungen lässt sich diese Funktion missbrauchen, um aus der vorgesehenen Namespace-Isolation auszubrechen. Ein Angreifer kann dadurch die Trennung zwischen Prozessumgebungen aushebeln und sich höhere Rechte verschaffen. Praktisch bedeutet das, dass etwa aus einer abgeschotteten Umgebung wie einem Container heraus auf das darunterliegende Wirtssystem zugegriffen und dort mit erweiterten Berechtigungen Code ausgeführt werden kann. Betroffen sind Systeme, auf denen ein verwundbarer Linux-Kernel mit aktivierter cgroups-v1-Funktion läuft – also eine sehr breite Basis von Servern, Cloud-Plattformen und containerisierten Umgebungen.