In Linux-Systemen lauert ein grundlegendes Risiko: Sicherheitslücke CVE-2025-6019
Table of Contents
Die Sicherheitslücke verstehen
CVE-2025-6019 ist eine Schwachstelle zur lokalen Rechteausweitung (LPE), die eine erhebliche Bedrohung für Linux- Systeme darstellt. Diese Schwachstelle wurde von Forschern bei Qualys entdeckt. Sie befindet sich in libblockdev und kann über den udisks- Daemon ausgenutzt werden – eine Komponente, die standardmäßig in den meisten Linux-Distributionen vorhanden ist. In Kombination mit der anderen bekannten Schwachstelle CVE-2025-6018 kann sie es einem regulär angemeldeten Benutzer ermöglichen, seine Rechte innerhalb von Sekunden bis hin zum Root-Zugriff auszuweiten.
Im Kern geht es bei CVE-2025-6019 um Vertrauensgrenzen – insbesondere darum, wie ein scheinbar harmloser Benutzer mit „allow_active“-Berechtigungen normale Systemschutzmechanismen umgehen und uneingeschränkte Kontrolle über das Betriebssystem erlangen kann. Dies wirft insbesondere in Mehrbenutzer-Linux-Umgebungen ernsthafte Sicherheitsbedenken auf.
Vom Gewöhnlichen zum Allmächtigen
Was CVE-2025-6019 besonders gefährlich macht, ist seine Abhängigkeit von CVE-2025-6018, einer Schwachstelle in der Konfiguration der Pluggable Authentication Modules (PAM) in SUSE-Linux-Distributionen. Diese frühere Schwachstelle ermöglicht es einem nicht privilegierten lokalen Benutzer, den Status „allow_active“ zu erhalten – eine Zugriffsebene, die normalerweise Benutzern gewährt wird, die physisch anwesend sind oder sich über GUI- oder SSH-Sitzungen authentifiziert haben.
Sobald der Angreifer diese mittlere Zugriffsebene erreicht hat, kann CVE-2025-6019 ausgenutzt werden, um über den udisks- Dienst volle Root-Rechte zu erlangen. Laut Qualys hebt diese Kette von Schwachstellen die traditionelle Trennung zwischen einem normalen Benutzer und einem Systemadministrator auf – eine besorgniserregende Veränderung in der Linux-Sicherheitslandschaft.
Die Auswirkungen in der realen Welt
Root-Zugriff ist der Schlüssel zum Erfolg für jeden Angreifer. Damit kann man Sicherheitsrichtlinien ändern, auf sensible Daten zugreifen und diese exfiltrieren, persistente Hintertüren einbauen und das System nach Belieben manipulieren. In Umgebungen wie gemeinsam genutzten Workstations, Cloud-gehosteten VMs oder Linux-basierten Servern könnte ein Angreifer, der diese Schwachstellen ausnutzt, nicht nur ein System, sondern potenziell ein ganzes Netzwerk oder eine ganze Infrastruktur kompromittieren.
Dies ist kein theoretisches Problem. Qualys hat bereits Proof-of-Concept-Exploits (PoC) entwickelt, die bestätigen, dass die Schwachstelle mehrere gängige Linux-Distributionen betrifft, darunter Ubuntu, Debian, Fedora und openSUSE. Aufgrund der weiten Verbreitung der udisks-Komponente könnten viele Systeme unwissentlich gefährdet sein.
Was sich hinter den Kulissen verbirgt: Udisks und Libblockdev
Udisks ist ein Dienst, der Schnittstellen zur Verwaltung von Speichergeräten bereitstellt. Er soll zwar die Benutzerfreundlichkeit und Automatisierung verbessern, bietet aber auch neue Angriffsflächen – insbesondere bei der Interaktion mit Benutzerberechtigungen und Richtlinien wie allow_active . Libblockdev, die Bibliothek hinter vielen dieser Festplattenoperationen, bildet den Kern von CVE-2025-6019. Sie bietet Low-Level-Zugriff auf Blockgerätefunktionen und kann in diesem Fall die Operationen für Benutzer mit unzureichenden Berechtigungen nicht ausreichend einschränken.
Dieses Versehen wird kritisch, wenn es mit PAM-Eigenheiten und Polkit-Vertrauensannahmen kombiniert wird. Die Schwachstellen nutzen die Grauzonen aus, in denen Dienste wie udisks als „aktiv“ gekennzeichneten Benutzern vertrauen und davon ausgehen, dass sie sicher sind – eine Annahme, die laut CVE-2025-6018 manipuliert werden kann.
Schadensbegrenzungsmaßnahmen und Reaktion des Anbieters
Die gute Nachricht ist, dass Linux-Anbieter bereits reagieren. Patches werden veröffentlicht, und Systemadministratoren werden dringend gebeten, diese sofort nach Verfügbarkeit zu installieren. Bis dahin gibt es einige praktische Workarounds. Beispielsweise können Administratoren die Polkit-Regel für org.freedesktop.udisks2.modify-device so ändern, dass eine vollständige Administratorauthentifizierung (auth_admin) erforderlich ist, anstatt sich auf die freizügigere Einstellung allow_active zu verlassen.
Diese Maßnahmen können die Angriffskette verhindern, selbst wenn die zugrunde liegenden Schwachstellen weiterhin bestehen. Sie stellen jedoch nur vorübergehende Lösungen dar und sollten nicht als Ersatz für ordnungsgemäße Systemaktualisierungen angesehen werden.
Mehr als ein Fehler
Die Bekanntgabe von CVE-2025-6019 erfolgt parallel zu anderen aktuellen Linux-Sicherheitsbedenken, wie beispielsweise CVE-2025-6020 – einem schwerwiegenden Path-Traversal-Problem im Modul pam_namespace. Obwohl es keinen direkten Zusammenhang gibt, unterstreicht es die größere Herausforderung, lokale Berechtigungsgrenzen in Linux zu sichern. Solche Probleme sind zwar nicht aus der Ferne ausnutzbar, aber besonders gefährlich, wenn bereits ein lokaler Angriffspunkt existiert – sei es durch einen Insider, ein kompromittiertes Benutzerkonto oder durch Phishing.
Ausblick
CVE-2025-6019 erinnert uns daran, dass selbst vertrauenswürdige und weit verbreitete Komponenten zu Angriffspunkten werden können, wenn Annahmen über Benutzervertrauen und -zugriff nicht sorgfältig überprüft werden. Da Linux weiterhin alles von privaten Geräten bis hin zu Unternehmensinfrastrukturen und Cloud-Umgebungen unterstützt, ist Wachsamkeit beim Patchmanagement und bei Zugriffskontrollrichtlinien wichtiger denn je.
Systemadministratoren, Entwickler und Sicherheitsexperten sollten diese Erkenntnisse als Handlungsaufforderung verstehen – nicht nur zum Patchen, sondern auch dazu, die Struktur und Durchsetzung lokaler Benutzerberechtigungen zu überdenken. In einer Welt, in der ein Zugriff auf lokale Benutzerrechte innerhalb von Sekunden erfolgen kann, bleiben mehrschichtige Verteidigung und proaktive Wartung die beste Schutzmaßnahme.
