ISN 2025-10: Sicherheitslücke im Linux-Kernel

Erstveröffentlichung: 30. April 2025

CVSS 3.1: 7.8 (Hoch)

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Zusammenfassung

Im Linux-Kernel, der in IGEL OS verwendet wird, wurde eine Sicherheitslücke entdeckt. Betroffen sind folgenden Produktversionen:

• IGEL OS 12

• IGEL OS 11

Details

Der Linux-Kernel weist eine Schwachstelle im Zusammenhang mit nicht initialisierten Ressourcen auf, durch die ein Angreifer Kernel-Speicher über speziell gestaltete Human Interface Device-Reports (HID) auslesen kann. Ursprünglich mit dem Schweregrad ‚mittel‘ bewertet, stuft IGEL die Schwachstelle als ‚hoch‘ ein, da laut CISA Berichte vorliegen, wonach sie aktiv zum Angriff auf Linux-Systeme ausgenutzt wird (CVE-2024-50302).

Update-Anweisungen

• OS 12: Aktualisieren Sie das IGEL OS Base System auf Version 12.7.0, sobald diese verfügbar ist.

• OS 11: Aktualisieren Sie auf OS 11.11.100, sobald diese Version verfügbar ist (geplant für August).

Quellen

• CVE-2024-50302 in der NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-50302

• CISA KEV-Eintrag: https://www.cisa.gov/news-events/alerts/2025/03/04/cisa-adds-four-known-exploited-vulnerabilities-catalog