Im Standard-Zugriffsmechanismus von Linux-Systemen „AppArmor“ haben Sicherheitsforscher von Qualys neun Schwachstellen gefunden, die Root-Zugriff ermöglichen könnten. Die Forscher empfehlen, den Kernel zu aktualisieren und kritisieren gleichzeitig den Patch-Prozess.
Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen.
Unter dem Namen „CrackArmor“ verfolgt das Threat-Research-Team von Qualys eigenen Angaben nach eine Reihe von Sicherheitslücken in „AppArmor“, einem weit verbreiteten Sicherheitsmodul im Linux-Kernel. Die insgesamt neun Schwachstellen bestünden seit 2017, damals in Version Version v4.11, und würden über 12,6 Millionen Unternehmenssysteme anfällig machen. Angreifer seien in der Lage gewesen, sich damit vollständigen Root-Zugriff zu verschaffen, Container-Ausbrüche auszuführen und systemweite Abstürze zu verursachen. Qualys empfiehlt, den Kernel sofort zu patchen, um diese Schwachstellen zu beheben.
AppArmor dient standardmäßig als Zugriffskontrollmechanismus für Ubuntu, Debian, Suse und zahlreiche Cloud-Plattformen und kommt auch in Unternehmensumgebungen, Kubernetes, IoT und Edge-Umgebungen zum Einsatz. Sofern AppArmor aktiviert ist, sind alle Linux-Kernel-Versionen ab 4.11 von den Sicherheitslücken betroffen.
Die CrackArmor-Sicherheitslücken nutzen den Analysten zufolge eine sogenannte „Confused Deputy”-Schwachstelle aus, die ein vertrauenswürdiges Programm mit höheren Berechtigungen dazu manipuliere, seine Befugnisse zu missbrauchen. Angreifer würden so Systemprozesse dazu verleiten, böswillige Aktionen in ihrem Namen auszuführen, wodurch sie Sicherheitskontrollen effektiv umgehen und sich unbefugten Zugriff verschaffen oder Berechtigungen eskalieren könnten, ohne dass sie über Administratorrechte verfügen müssten. Zudem könnten sie beliebigen Code im Kernel ausführen und so beispielsweise Denial-of-Service-Angriffe durchführen.
Eine Confused-Deputy-Schwachstelle ist eine Sicherheitslücke, bei der ein privilegiertes Programm oder Dienst, der Deputy, von einem weniger privilegierten Angreifer getäuscht wird, um unbefugte Aktionen im Namen des Deputys auszuführen. Dieses Problem entsteht, wenn der privilegierte Dienst nicht in der Lage ist, kontextbezogene Anfragen ausreichend zu validieren, was es einem unbefugten Akteur ermöglicht, legitime Aktionen auszuführen, die er sonst nicht durchführen könnte.
„Diese Entdeckungen verdeutlichen gravierende Lücken in unseren Annahmen zur standardmäßigen Sicherheit. CrackArmor beweist, dass selbst die etabliertesten Schutzmechanismen ohne Administratorrechte umgangen werden können“, kommentiert Dilip Bachwani, Chief Technology Officer bei Qualys. „Für CISOs bedeutet dies, dass das alleinige Einspielen von Patches nicht ausreicht; wir müssen unsere gesamte Annahme darüber, was 'Standardkonfigurationen' für unsere Infrastruktur bedeuten, überdenken.“
Qualys habe einen Proof of Concept zu den CrackArmor-Schwachstellen erstellt, wolle diesen allerdings nicht veröffentlichen, um die Wahrscheinlichkeit einer Ausnutzung nicht noch weiter zu erhöhen. Zudem hätten die Forscher die Schwachstellen an die Sicherheitsteams von betroffenen Linux-Distributionen wie Ubuntu, Debian und Suse gemeldet.
Zum Zeitpunkt der Veröffentlichung der Analyse wurden den Softwarefehlern, die mit CrackArmor beschrieben werden, noch keine CVE- oder EUVD-IDs zugeordnet. Dies habe den Analysten zufolge einen bestimmten Hintergrund, den sie als kritisch betrachten. Da die Sicherheitslücken im Upstream-Linux-Kernel vorhanden seien, könne nur das Upstream-Kernel-Team CVEs dazu vergeben. Nachdem ein Fix mit einer stabilen Kernel-Version veröffentlicht werde, dauere es in der Regel ein bis zwei Wochen, bis dieses Team IDs vergeben würden. Diese bewusste Verzögerung solle Nutzern, die regelmäßig stabile Versionen verfolgen, Zeit geben, die Schwachstellen zu patchen, bevor sie mit den IDs öffentlich bekannt gemacht würden. „Wir respektieren zwar die Intention dieses Ansatzes, möchten aber darauf hinweisen, dass die diesem Prozess zugrunde liegenden Annahmen nicht immer mit der praktischen Funktionsweise von Sicherheits-Tracking und Patching übereinstimmen, nicht nur in Unternehmensumgebungen, sondern im gesamten Ökosystem, wo CVEs als wichtiges Koordinierungssignal dienen“, heißt es in der Analyse. „Lassen Sie sich durch das Fehlen einer CVE-Nummer nicht die Bedeutung dieser Schwachstellen schmälern. Wenn Sie betroffene Versionen verwenden, nehmen Sie diese Empfehlung ernst und aktualisieren Sie Ihre Software entsprechend.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Qualys habe seine eigenen Produkte und Plattformen einer gründlichen Überprüfung unterzogen und könne bestätigen, dass diese von den Sicherheitslücken nicht betroffen seien. Ubuntu hat kurz vor Veröffentlichung der Qualys-Analyse einen Sicherheitshinweis zu CrackArmor veröffentlicht, von Suse und Debian gibt es keine gesonderten Meldungen. Die offizielle Linux-Kernel-Seite hat eine Übersicht mit den Updates von März 2026 veröffentlicht, die die Sicherheitslücken von CrackArmor schließen. Diese sind 6.19.8, 6.12.77, 6.6.129, 6.1.166 und 5.15.202.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a6/9d/a69d821246ab997b352af72ce9d02f7d/0130181656v2.jpeg "Wiper-Angriffe sind eine Form von Cyberangriffen, die darauf abzielen, Daten und Systeme zu löschen oder unbrauchbar zu machen. Sie werden oft in geopolitischen Konflikten verwendet und werden derzeit von der Hackergruppe „Handala Hack“ genutzt, um kritische Infrastruktur in israelischen Unternehmen zu stören, indem sie Phishing und gestohlene Zugangsdaten einsetzen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5d/ff/5dff3299d12fc4d37210c44689af6d56/0130055480v2.jpeg "Der IT-Service-Provider Quipu verzeichnete mehrere DDoS-Angriffe, aber die Schutzmechanismen des Cloud-Providers konnten die Bots der Angreifer nicht abwehren. (Bild: © Maria Mikhaylichenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/67/f16732d79dded575404eb689e4ce1abe/0130057977v2.jpeg "Moderne Fahrzeuge erzeugen bis zu einem Terabyte Daten pro Stunde und kommunizieren über V2X mit Infrastruktur, Cloud und Fußgängern – das macht sie angreifbar. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/31/c0317e2c71d107e6ecbd2fdefa100962/0129629035v2.jpeg "Cyberkriminelle nutzen Künstliche Intelligenz, um bestehende Methoden zur Betrugs- und Malware-Entwicklung zu verfeinern, ihre Kosten zu senken und neue Technologien wie Deepfakes effektiv in ihren Angriffen einzusetzen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e1/c5/e1c565c5f124763803e1fff4ab63358a/0128304876v1.jpeg "Netzwerksichtbarkeit und -sicherheit muss auch in der Produktion oberste Priorität haben, fordert Tiho Saric, Senior Sales Director bei Gigamon. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/6a/fd/6afdae64b3156714ffcc6afd73d977c4/0130023020v2.jpeg "NIST-Standards FIPS 206 und FIPS 207 bringen quantensichere Signaturen und Schlüsselaustausch bis 2027 in Trusted Execution Environments und Confidential Computing. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/9a/ed9a6fff92a7a1aec767fc73c6681232/0130157782v2.jpeg "Der Hotpatch für Windows 11 vom 13. März 2026 bezieht sich auf Systeme mit den Architekturen x64 und Arm64. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/a4/4ca48ee3de835f32513f2df9448470c5/0130022845v2.jpeg "Hardwarebasierte Enklaven schützen Daten während der Verarbeitung. Quantencomputer bedrohen aber die zugrundeliegende Verschlüsselung langfristig. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/09/63/096381a460a1833d3dc912b7c4f9776a/0129245099v2.jpeg "Die Sicherheitslücke EUVD-2025-24155 / CVE-2025-38499 im Linux-Kernel, die bereits seit August 2025 im Umlauf ist, wird vom BSI als kritisch eingestuft. Möglicherweise, weil nach wie vor Linux-Distributionen davon betroffen sind. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/33/e333763ff26e13e15edaf3f9be1dbea5/0129982986v2.jpeg "Apache Tomcat wird häufig als Open-Source-Servlet-Container für die Ausführung von Java-Webanwendungen eingesetzt. Nun birgt die Lösung die Gefahr, dass Angreifer Sicherheitsfunktionen umgehen und sensible Informationen offenlegen können. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/36/e9/36e9fdc1941b3bede1a7f8ca48e09601/0117774428.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ef/4b/ef4b411c3e16568f344eb90ecf7def8c/0123942656v1.jpeg "Cyberkriminelle können Schwachstellen ausnutzen, um in Ubuntu die Einschränkungen für unprivilegierte Benutzernamensräume zu umgehen und Zugriff auf isolierte Umgebungen und darin erhöhte Berechtigungen zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c9/f0/c9f0a23adc5bceb11606cbabcbf4e849/0125253568v1.jpeg "Die Folgen der offenen Schwachstellen können schwer wiegen, doch die Fixierung ist einfach. (Bild: Pixabay-Alt,mann/Qualsys)")