Ubuntu, Client

Ubuntu Pro Client: Kritische Lücke ermöglicht Root-Zugriff

Veröffentlicht: 17.07.2026 um 16:08 Uhr, Redaktion boerse-global.de

Canonical schließt drei Schwachstellen im Ubuntu Pro Client, darunter eine mit Höchstwertung, die Angreifern Root-Zugriff ermöglichen kann.

Ubuntu Pro Client: Drei kritische Sicherheitslücken erfordern sofortige Updates
Verschattete Gestalt in Kapuzenjacke tippt auf Laptop, Code-Zeilen und digitale Schloss-Symbole auf dem Bildschirm. Illustration mit AI erstellt übermittelt durch boerse-global.de

Drei Schwachstellen im Ubuntu Pro Client ermöglichen Angreifern unter Umständen die vollständige Kontrolle über das System. Canonical hat nun Notfall-Updates veröffentlicht.

Schwerwiegendes Einspielungsrisiko mit Höchstwertung

Die gefährlichste Lücke trägt die Kennung CVE-2026-11386 und erreicht einen CVSS-Score von 9,0 – die zweithöchste Risikostufe überhaupt. Der Sicherheitsforscher Frederick Jerusha entdeckte, dass der Pro Client eine bestimmte Methode zur String-Formatierung ohne korrekte Maskierung verwendete. Konkret geht es um die Erstellung von APT-Quelldateien.

Das Problem: Ein Angreifer kann über manipulierte Antworten eines Vertragsservers beliebige Zeilen in diese Konfigurationsdateien einschleusen. In Kombination mit einem ungeprüften Feld in der Software wird daraus ein Einfallstor für Code-Ausführung mit Root-Rechten. Die Schwachstelle liegt in der Art und Weise, wie der Client zusätzliche Paketfelder und Serverantworten bei der Einrichtung von Software-Repositories verarbeitet.

Zwei weitere Sicherheitslücken geschlossen

Das Sicherheitsupdate USN-8555-1 behebt zudem zwei weitere Probleme:

CVE-2026-9494 betrifft die Offenlegung sensibler Daten. Der von Bilal Teke entdeckte Fehler führte dazu, dass der Ubuntu Pro Client Bearer-Tokens in der Befehlszeile preisgab. Bei der Validierung von Anmeldedaten über eine Bibliothekshilfe konnten lokale Angreifer diese Tokens auslesen – und zwar über die Prozessinformationen im Systemverzeichnis.

Anzeige

Solche Sicherheitslücken zeigen, wie schnell sensible Unternehmensdaten durch technische Schwachstellen gefährdet sein können. Dieser kostenlose Report klärt auf, welche neuen IT-Risiken und rechtlichen Pflichten Unternehmer jetzt kennen müssen, um ihre Firma proaktiv zu schützen. Gratis-Report zu neuen Cyberrisiken anfordern

CVE-2026-12391 beschreibt eine Schwachstelle durch unsichere Symlink-Verfolgung im Log-Erfassungsbefehl des Clients. Der Befehl folgte symbolischen Links in vorhersagbaren temporären Pfaden. Ein nicht privilegierter lokaler Benutzer konnte das System so austricksen, dass es root-eigene Dateien – etwa die Passwort-Datei – in ein Diagnosearchiv einlas.

Welche Versionen betroffen sind

Canonical hat aktualisierte Pakete für zahlreiche Ubuntu-Versionen bereitgestellt – von Ubuntu 14.04 LTS bis zur aktuellen Version 26.04 LTS. Die korrigierten Versionen im Überblick:

  • Ubuntu 26.04: Version 37.2ubuntu0.1
  • Ubuntu 24.04: Version 37.2ubuntu~24.04.1
  • Ubuntu 22.04: Version 37.2ubuntu~22.04.1
  • Ubuntu 20.04: Version 37.1ubuntu0~20.04.1
  • Ubuntu 18.04 und 16.04: Versionen 37.1ubuntu0~18.04.1 und 37.1ubuntu0~16.04.1
  • Ubuntu 14.04: Version 19.7ubuntu0.1
Anzeige

Angesichts der zunehmenden Professionalisierung von Cyberangriffen reicht ein reines Reagieren auf Software-Updates oft nicht mehr aus. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken ohne teure Investitionen schließen und Ihr Unternehmen langfristig absichern. Kostenloses Cyber-Security E-Book herunterladen

Handlungsempfehlungen für Administratoren

Systemverwalter sollten die aktualisierten Pakete umgehend einspielen. Neben den Pro-Client-Updates veröffentlichte Canonical am 16. Juli 2026 auch Patches für weitere Systemkomponenten – darunter Ruby, NTFS-3G und die Authlib-Bibliothek.

Kann ein Update nicht sofort erfolgen, raten Sicherheitsexperten dazu, bestimmte Diagnosebefehle zu meiden, die die Symlink-Schwachstelle auslösen könnten. Die Updates stehen über die regulären Paketquellen zur Verfügung.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69787808 |