Suse-Entwickler Sebastian Krahmer hat einen lokalen Root-Exploit (CVE-2016-10156) im Linux-Init-System Systemd öffentlich gemacht. Über die Schwachstelle kann sich ein Angreifer Admin-Rechte auf dem System verschaffen. Diese Lücke in Systemd 228 wurde bereits im Januar 2016 geschlossen, da die Entwickler des Init-Systems sie allerdings für eine Denial-of-Service-Lücke hielten, wurde der Patch nicht an die Entwickler von Linux-Distributionen eskaliert. Dementsprechend erhielt der Patch keine dringliche Priorität und wurde nicht, wie bei Sicherheits-Patches üblich, in verwundbare Distros eingepflegt.

Distributionen, die Systemd-Versionen verwenden, die nach dem Patch im Januar 2016 veröffentlicht wurden (Systemd 229 und neuer), sind nicht verwundbar. Suse arbeitet momentan daran, Updates bereitzustellen. Debian Wheezy und Jessie sind nicht betroffen, für Debian Sid liegt ein Update vor. Ubuntu scheint nicht betroffen zu sein, ebenso scheinen Fedora und Red Hat Enterprise Linux (RHEL) die Lücke nicht aufzuweisen. (fab)