CrackArmor: 9 Schwachstellen in Linux AppArmor seit 2017

Thomas Kramer enthalten in IT-Sicherheit

13.03.2026 700 Wörter (ungefähr) 4 Minuten

Inhalt

Was ist passiert?

Das Qualys Threat Research Unit hat am 12. März 2026 neun Schwachstellen im AppArmor-Modul des Linux-Kernels veröffentlicht. Codename: CrackArmor. Die Lücken existieren seit 2017 (Kernel 4.11) und betreffen jede Distribution, die AppArmor integriert: Ubuntu, Debian, SUSE und deren Derivate.

Das Besondere: Es handelt sich nicht um Bugs in einer Drittanbieter-Software, sondern um Schwachstellen direkt im Sicherheitsmodul des Kernels. Das Werkzeug, das eigentlich vor Angriffen schützen soll, ist selbst das Problem.

Was ist AppArmor?

AppArmor (Application Armor) ist ein Mandatory Access Control (MAC) System im Linux-Kernel. Es beschränkt, was Programme tun dürfen: Dateizugriffe, Netzwerkverbindungen, Systemaufrufe. Auf Ubuntu ist es standardmäßig aktiviert und sichert unter anderem Container-Isolierung ab.

Wenn AppArmor kompromittiert wird, fällt eine zentrale Verteidigungslinie.

Die Schwachstellen im Detail

Alle neun Lücken sind sogenannte Confused-Deputy-Schwachstellen. Das Prinzip: Ein Angreifer bringt ein privilegiertes Programm dazu, seine Rechte im Sinne des Angreifers zu missbrauchen. Konkret:

Was ein unprivilegierter lokaler Nutzer tun kann:

AppArmor-Profile manipulieren über Pseudo-Dateien im /proc-Dateisystem
User-Namespace-Beschränkungen umgehen (Ubuntu hatte diese extra eingeführt, um die Angriffsfläche zu reduzieren)
Root-Rechte erlangen durch komplexe Interaktionen mit sudo und su
Container-Isolierung aushebeln (theoretischer Container-Escape, noch nicht praktisch demonstriert)
Denial-of-Service durch Stack-Erschöpfung
KASLR umgehen (Kernel Address Space Layout Randomization) über Out-of-Bounds-Reads

Warum das kritisch ist

Drei Aspekte machen CrackArmor besonders ernst:

1. Die Reichweite. Laut Qualys laufen über 12,6 Millionen Enterprise-Linux-Instanzen mit AppArmor. Jede Ubuntu-Installation seit 2017 ist betroffen. Das sind nicht nur Server, sondern auch Workstations, CI/CD-Systeme und Cloud-Instanzen.

2. Container-Sicherheit. AppArmor ist eine der Säulen, auf denen Container-Isolierung aufgebaut ist. Docker und Kubernetes setzen standardmäßig AppArmor-Profile ein, um Container voneinander und vom Host zu trennen. Wenn diese Isolation unterlaufen werden kann, hat das Auswirkungen auf jede Container-basierte Infrastruktur.

3. Keine CVEs vergeben. Zum Zeitpunkt der Veröffentlichung gibt es noch keine CVE-Nummern für die Schwachstellen. Das erschwert das Tracking in Vulnerability-Management-Systemen.

Patches und Maßnahmen

Canonical (Ubuntu) hat bereits reagiert und stellt Kernel-Updates sowie Userspace-Mitigations bereit:

Sofort patchen:

1
2
3
4
5
6
7
8
# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y

# Kernel-Version prüfen
uname -r

# AppArmor-Status prüfen
sudo aa-status | head -5

Was gepatcht wird:

Paket	Was	Tracking
`linux` (Kernel)	Alle 9 AppArmor-Schwachstellen	LP #2143853
`sudo` / `sudo-ldap`	Privilege Escalation via E-Mail-Benachrichtigungen	LP #2143042
`util-linux` (`su`)	Härtung gegen Confused-Deputy-Ausnutzung	LP #2143850

Canoncials Empfehlung: Sowohl Userspace-Mitigations (sudo, su) als auch Kernel-Update anwenden. Die Userspace-Patches allein sind nur eine Abschwächung, kein vollständiger Fix.

Interessant: sudo-rs, die Rust-Neuimplementierung von sudo (Standard ab Ubuntu 25.10), ist nicht betroffen. Dort wurde die E-Mail-Benachrichtigungsfunktion designbedingt weggelassen.

Einordnung für die Praxis

Für Host-Systeme ohne Container: Ausnutzung erfordert einen lokalen unprivilegierten Nutzer mit gesetztem Passwort UND ein kooperierendes privilegiertes Programm (su). Reine System-Accounts ohne Passwort können die Lücke nicht triggern. Das Risiko ist real, aber nicht trivial auszunutzen.

Für Container-Umgebungen: Hier ist die Lage ernster. In Umgebungen, die potenziell bösartige Container-Images ausführen (Multi-Tenant-Kubernetes, CI/CD-Pipelines mit Drittanbieter-Images), können die Schwachstellen ohne kooperierendes Userspace-Programm ausgenutzt werden.

Für Rettungsdienste, Gesundheitswesen und kritische Infrastruktur: Wenn Sie Linux-Server betreiben (und das tun Sie wahrscheinlich), patchen. Zeitnah. Die Kombination aus Root-Eskalation und Container-Escape ist das Worst-Case-Szenario für jede Infrastruktur.

Was man daraus lernen kann

Sicherheitsmodule sind nicht unfehlbar. AppArmor, SELinux, Seccomp: alles wichtige Verteidigungslinien. Aber “Defense in Depth” heißt: keine einzelne Schicht allein vertrauen
Confused-Deputy-Angriffe sind unterschätzt. Die Schwachstellen nutzen keine Buffer Overflows oder Memory Corruption. Sie missbrauchen die normale Funktionalität von privilegierten Programmen
7 Jahre unentdeckt. Seit Kernel 4.11 (2017). Das ist kein Vorwurf an die Maintainer, sondern eine Erinnerung daran, wie komplex Kernel-Sicherheit ist
Rust hilft tatsächlich. Dass sudo-rs nicht betroffen ist (weil gefährliche Legacy-Features fehlen), ist ein konkretes Argument für die schrittweise Rust-Migration in sicherheitskritischen Systemtools

Quellen:

The Hacker News — Nine CrackArmor Flaws in Linux AppArmor Enable Root Escalation (13. März 2026)
Qualys Blog — CrackArmor: Critical AppArmor Flaws Enable Local Privilege Escalation to Root (12. März 2026)
Canonical/Ubuntu — AppArmor vulnerability fixes available (13. März 2026)