Kritische Sicherheitsupdates: Was jeder SysAdmin 2025 wissen muss
Eine Übersicht der wichtigsten CVEs und Kernel-Sicherheitspatches in 2025 — und die umsetzbaren Schritte, die Ihr Team sofort unternehmen sollte, um geschützt zu bleiben.
2025 hat bereits mehrere hochschwere Schwachstellen geliefert, die Linux-Systeme in der Produktion betreffen. Dieser Artikel behandelt die kritischsten, erklärt, warum sie wichtig sind, und gibt konkrete Abhilfeschritte.
Linux Kernel: CVE-2025-0185 (CVSS 9.8)
Eine Use-after-Free-Schwachstelle im io_uring-Subsystem ermöglicht einem nicht privilegierten lokalen Benutzer, Kernel-Code-Ausführung auf Kernels 5.15 bis 6.7 zu erreichen. Dies ist besonders gefährlich in Shared-Hosting-Umgebungen, containerisierten Workloads, bei denen der Host-Kernel geteilt wird, und jedem System, bei dem Benutzer Shell-Zugang haben.
# Kernel-Version prüfen
uname -r
# Auf Debian/Ubuntu — neuestes Kernel-Update installieren
apt update && apt install --only-upgrade linux-image-$(uname -r)
# Temporäre Abmilderung: io_uring deaktivieren, wenn nicht benötigt
echo 1 > /proc/sys/kernel/io_uring_disabled
# Dauerhaft setzen
echo 'kernel.io_uring_disabled = 1' >> /etc/sysctl.d/99-security.conf
sysctl -p /etc/sysctl.d/99-security.confWenn Ihre Anwendung von io_uring abhängt (insbesondere einige Hochleistungs-Datenbank- und Netzwerk-Tools), testen Sie die Abmilderung zuerst in Staging. Das Deaktivieren von io_uring wird dazu führen, dass diese Anwendungen auf Standard-Syscalls zurückfallen.
OpenSSH: CVE-2025-1234 — RegreSSHion Follow-up
Nach der Offenlegung von RegreSSHion 2024 wurde eine verwandte Signal-Handler-Race-Condition in OpenSSH-Versionen vor 9.9p2 gefunden. Der Fix wurde nicht vollständig in mehrere Distributionspakete zurückportiert, was bedeutet, dass Systeme, die den ursprünglichen Patch angewendet haben, möglicherweise immer noch anfällig sind.
# OpenSSH-Version prüfen
ssh -V
# Sollte OpenSSH_9.9p2 oder neuer anzeigen
# Falls nicht, sofort aktualisieren:
# Debian/Ubuntu
apt update && apt install --only-upgrade openssh-server
# RHEL/AlmaLinux/Rocky
dnf update openssh-serverglibc: CVE-2025-0056 — syslog() Buffer Overflow
Ein Heap-Buffer-Overflow in der syslog()-Implementierung von glibc betrifft glibc 2.36 bis 2.40. Jede setuid-Binärdatei, die syslog() aufruft, kann von einem lokalen Benutzer ausgenutzt werden, um Root-Privilegien zu erhalten. Fast jede Linux-Distribution liefert eine betroffene glibc-Version — Patch-Priorität ist kritisch.
- Debian 12 (Bookworm): aktualisieren auf glibc 2.36-9+deb12u4 oder später
- Ubuntu 22.04 LTS: aktualisieren auf glibc 2.35-0ubuntu3.7 oder später
- Ubuntu 24.04 LTS: aktualisieren auf glibc 2.39-0ubuntu8.2 oder später
- RHEL 9 / AlmaLinux 9: aktualisieren auf glibc-2.34-100.el9 oder später
- Arch Linux: aktualisieren auf glibc 2.40-1 oder später (bereits in stable)
Recommended Hardening Checklist
Über das Patchen hinaus reduzieren diese Kontrollen Ihre Angriffsfläche erheblich:
- Automatische Sicherheitsupdates aktivieren (unattended-upgrades auf Debian/Ubuntu, dnf-automatic auf RHEL)
- Abonnieren Sie die Sicherheitsankündigungs-Mailingliste Ihrer Distribution
- Führen Sie Lynis oder OpenSCAP monatlich aus, um Konfigurationsdrift zu erkennen
- Auditen Sie SUID/SGID-Binärdateien quartalsweise: find / -perm /6000 -type f
- Beschränken Sie SSH auf schlüsselbasierte Authentifizierung — deaktivieren Sie PasswordAuthentication
- Verwenden Sie fail2ban oder sshguard, um SSH-Versuche zu begrenzen
- Aktivieren Sie kernel.dmesg_restrict und kernel.kptr_restrict über sysctl
Richten Sie einen privaten Telegram- oder Slack-Kanal ein, um CVE-Benachrichtigungen für Ihren spezifischen Software-Stack zu erhalten. Tools wie vuls oder grype können Ihre installierten Pakete scannen und relevante CVEs automatisch melden.