ISN 2025-22: Stellungnahme zu CVE-2025-47827 in IGEL OS 10
Erstveröffentlichung: 2. Juni 2025
Zusammenfassung
Der Sicherheitsforscher Zack Didcott hat eine Schwachstelle in IGEL OS 10 gemeldet, welche nicht mehr gepflegt wird. Die aktuellen Versionen OS 11 und OS 12 sind von dem Problem nicht betroffen.
Details
IGEL gibt in der Regel nur IGEL Sicherheitsmeldungen (ISN) für Produktversionen heraus, die sich in der aktiven Wartung befinden. In dieser ISN geht es jedoch um IGEL OS 10. Dabei handelt es sich um eine Version, für die keine Sicherheitskorrekturen mehr bereitgestellt werden und die nicht in produktiven Umgebungen eingesetzt werden sollte. IGEL veröffentlicht diese Mitteilung als Reaktion auf die Veröffentlichung von CVE-2025-47827, ausschließlich zur Klarstellung und der Vollständigkeit halber.
Zack Didcott beschreibt ein Problem mit der Integrität der Boot-Kette in IGEL OS 10. Obwohl UEFI Secure Boot verwendet wird, überprüft der Linux-Kernel nicht die kryptografische Signatur der Systempartition. Dies kann es einem Angreifer ermöglichen, eine andere Systempartition zu booten.
IGEL möchte betonen, dass Secure Boot zu den zentralen Sicherheitsprinzipien von IGEL OS gehört. Gebootete Kernel und damit System-Images müssen jedoch regelmäßig gepatcht werden, um Sicherheitslücken zu schließen. Ungepflegte Kernel und Systeme wie OS 10 bergen ein generelles Sicherheitsrisiko für Anwender, das über die Secure-Boot-Kette hinausgeht.
Zur Klarstellung: Dies betrifft nicht IGEL OS 11 und OS 12, da diese die Signaturen aller Partitionen überprüfen.
Update-Anweisungen
Aktualisieren Sie die Systeme zu aktiv gewarteten Produkten.
Für Anwender der aktuellen Versionen IGEL OS 11 und OS 12 besteht kein Handlungsbedarf.
Quellen
CVE-2025-47827