Sicherheitslücken im Linux-Kernel

Mehr Fehler durch neues Entwicklungsmodell?

Zusammen mit der neuen Version 2.1.0 der Linux-Sicherheitssoftware grsecurity hat Brad Spengler auf vier Sicherheitslücken im Linux-Kernel hingewiesen und sich über den Umgang mit Sicherheitslücken im Linux-Kernel sowie dessen Code-Qualität beschwert. Derweil meldet Paul Starzetz von Isec im Binary-Loader des Linux-Kernel eine Sicherheitslücke.

Anzeige

Sowohl die von Brad Spengler als auch die von Paul Starzetz gefundenen Sicherheitslücken sind nur lokal, also mit einem vorhandenen Nutzer-Account ausnutzbar, erlauben es dann aber, die eigenen Nutzerrechte auszudehnen und so mitunter Root-Rechte zu erlangen.

Spengler stößt dabei der Umgang mit Sicherheitslücken im Kernel auf. Er habe Torvalds bereits am 15. Dezember 2004 über eine der Sicherheitslücken informiert, eine weitere sei Torvalds vom PaX-Team am 27. Dezember 2004 und danach auch nochmals von Andrew Morton mitgeteilt worden. Obwohl Torvalds sowie Morton zahlreiche Änderungen am Kernel vorgenommen hätten, seien die Sicherheitslücken auch nach drei Wochen noch nicht beseitigt, nach Ansicht von Spengler ausreichend Zeit, denn entsprechende Patches seien den E-Mails an Torvalds und Morton beigefügt gewesen.

Zudem habe er mit einer kleinen Analyse innerhalb von 15 Minuten vier weitere Sicherheitslücken finden können, vor allem im neuen Kernel 2.6. Spengler sieht einen verhängnisvollen Trend, denn es sei zehnmal einfacher, eine Sicherheitslücke im Linux-Kernel zu finden als in jeder anderen Applikation auf einem System. Schuld sei das neue Entwicklungsmodell des Kernel 2.6, bei dem experimenteller Code Einzug in den Kernel hält und später als "stabil" deklariert werde.

Auch Starzetz fügte der von ihm entdeckten Sicherheitslücke einen entsprechenden Exploit bei.


Rolf 21. Jan 2005

in jeder Hinsicht nicht (Spiele!!!), aber Mandrake 10.1 lies sich auf mehreren...

stehlampe0012 11. Jan 2005

also ich hab mir jetz mal die komplette diskussion durchgelesen und mich stellenweise...

M. Renz 11. Jan 2005

Servus, also ich hab mir hier jetzt nichts durchgelesen Aber ist doch gut dass diese...

Kaffesatz 11. Jan 2005

ist aber lustig hier ...

Michael - alt 11. Jan 2005

Sag mal, hast Du irgendein Problem? Sagt wer???? Du etwa? Lach... Das ist lächerliche Gro...

Kommentieren




Anzeige

  1. Business Intelligence Experte (m/w)
    Sparkassen Rating und Risikosysteme GmbH, Berlin
  2. Business Intelligence Analyst Logistik (m/w)
    Home Shopping Europe GmbH, Ismaning (Raum München)
  3. Entwicklungsingenieur (m/w) Systemarchitektur / Systems Engineering
    Diehl BGT Defence GmbH & Co. KG, Überlingen am Bodensee
  4. Mitarbeiter/-in Informationstechnologie, Produktdatenmanagement / Bill of Materials Support und Prozesse
    Daimler AG, Sindelfingen

 

Detailsuche


Folgen Sie uns
       


  1. Verband

    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"

  2. Kabel Deutschland

    2.000 Haushalte zwei Tage von Kabelschaden betroffen

  3. Cridex-Trojaner

    Hamburger Senat bestätigt großen Schaden durch Malware

  4. Ubuntu 14.04 LTS im Test

    Canonical in der Konvergenz-Falle

  5. Überwachung

    Snowden befragt Putin in Fernsehinterview

  6. Bleichenbacher-Angriff

    TLS-Probleme in Java

  7. Cyanogenmod-Smartphone

    Oneplus One kann nur auf Einladung bestellt werden

  8. Heartbleed-Bug

    Strato und BSI warnen Nutzer

  9. Gameface Labs Mark IV

    Virtuelle, drahtlose Android-Realität mit 1440p

  10. Verbraucherwarnung

    Nokia ruft Netzteile des Lumia 2520 zurück



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Display Scanout Engine: Xbox, streck das Bild!
Display Scanout Engine
Xbox, streck das Bild!

Die Xbox One berechnet viele Spiele nicht nativ in 1080p. Stattdessen vergrößern ein Hardware-Scaler oder einige Softwareschritte niedrigere Auflösungen. Beide Lösungen bieten Vor- und Nachteile, welche die Bildqualität oder Bildrate beeinflussen.

  1. Xbox One Upgedated und preisgesenkt
  2. Xbox One Microsoft denkt über Xbox-360-Emulation nach
  3. Xbox One Inoffizielle PC-Treiber für Controller erhältlich

Facebook und Oculus Rift: Vier Prognosen zu Faceboculus
Facebook und Oculus Rift
Vier Prognosen zu Faceboculus

Der erste Shitstorm hat sich gelegt. Und Oculus gehört immer noch Facebook. Was ändert das jetzt? Und was bedeutet das für die Zukunft? Wer sich mit Entwicklern und Experten unterhält, der kann einige erste Schlüsse ziehen.

  1. Oculus Rift 25.000 Exemplare der neuen Dev-Kit-Version verkauft
  2. Developer Center Sicherheitslücke bei Oculus VR
  3. Oculus VR "Wir haben nicht so viele Morddrohungen erwartet"

Windows XP ade: Linux ist nicht nur ein Lückenfüller
Windows XP ade
Linux ist nicht nur ein Lückenfüller

Wenn der Support für Windows XP ausläuft, wird es dringend Zeit, nach einer sicheren und vor allem kostenlosen Alternative zu suchen. Linux ist dafür bestens geeignet. Bleibt nur noch die Qual der Wahl.

  1. Open Source Linux 3.15 startet in die Testphase
  2. Linux-Kernel LTO-Patch entfacht Diskussion
  3. Linux-Distribution Opensuse baut um und verschiebt Version 13.2

    •  / 
    Zum Artikel