Sicherheitslücken im Linux-Kernel

Mehr Fehler durch neues Entwicklungsmodell?

Zusammen mit der neuen Version 2.1.0 der Linux-Sicherheitssoftware grsecurity hat Brad Spengler auf vier Sicherheitslücken im Linux-Kernel hingewiesen und sich über den Umgang mit Sicherheitslücken im Linux-Kernel sowie dessen Code-Qualität beschwert. Derweil meldet Paul Starzetz von Isec im Binary-Loader des Linux-Kernel eine Sicherheitslücke.

Anzeige

Sowohl die von Brad Spengler als auch die von Paul Starzetz gefundenen Sicherheitslücken sind nur lokal, also mit einem vorhandenen Nutzer-Account ausnutzbar, erlauben es dann aber, die eigenen Nutzerrechte auszudehnen und so mitunter Root-Rechte zu erlangen.

Spengler stößt dabei der Umgang mit Sicherheitslücken im Kernel auf. Er habe Torvalds bereits am 15. Dezember 2004 über eine der Sicherheitslücken informiert, eine weitere sei Torvalds vom PaX-Team am 27. Dezember 2004 und danach auch nochmals von Andrew Morton mitgeteilt worden. Obwohl Torvalds sowie Morton zahlreiche Änderungen am Kernel vorgenommen hätten, seien die Sicherheitslücken auch nach drei Wochen noch nicht beseitigt, nach Ansicht von Spengler ausreichend Zeit, denn entsprechende Patches seien den E-Mails an Torvalds und Morton beigefügt gewesen.

Zudem habe er mit einer kleinen Analyse innerhalb von 15 Minuten vier weitere Sicherheitslücken finden können, vor allem im neuen Kernel 2.6. Spengler sieht einen verhängnisvollen Trend, denn es sei zehnmal einfacher, eine Sicherheitslücke im Linux-Kernel zu finden als in jeder anderen Applikation auf einem System. Schuld sei das neue Entwicklungsmodell des Kernel 2.6, bei dem experimenteller Code Einzug in den Kernel hält und später als "stabil" deklariert werde.

Auch Starzetz fügte der von ihm entdeckten Sicherheitslücke einen entsprechenden Exploit bei.


Rolf 21. Jan 2005

in jeder Hinsicht nicht (Spiele!!!), aber Mandrake 10.1 lies sich auf mehreren...

stehlampe0012 11. Jan 2005

also ich hab mir jetz mal die komplette diskussion durchgelesen und mich stellenweise...

M. Renz 11. Jan 2005

Servus, also ich hab mir hier jetzt nichts durchgelesen Aber ist doch gut dass diese...

Kaffesatz 11. Jan 2005

ist aber lustig hier ...

Michael - alt 11. Jan 2005

Sag mal, hast Du irgendein Problem? Sagt wer???? Du etwa? Lach... Das ist lächerliche Gro...

Kommentieren



Anzeige

  1. Scrum Master (m/w)
    MaibornWolff GmbH, München
  2. Funktions- / Software-Entwickler/-in Complex Driver für Motorsteuerung
    Robert Bosch GmbH, Schwieberdingen
  3. SAP-Entwickler (m/w) für ABAP & Process Integration
    Star Cooperation GmbH, Großraum Stuttgart
  4. Software Engineer (m/w)
    Cognitec Systems GmbH, Dresden

 

Detailsuche


Hardware-Angebote
  1. TIPP: USB-Ventilatoren von Arctic
    ab ca. 7,65€ inkl. Versand
  2. TIPP: Alternate Schnäppchen Outlet
    (täglich neue Deals)
  3. TIPP: Twitfish Retro USB-Ventilator - Schwarz
    3,75€ +2,99€ Versand

 

Weitere Angebote


Folgen Sie uns
       


  1. Streaming

    Parallele Benutzung von Apple Music stoppt Wiedergabe

  2. Erneuter Gewinnrückgang

    Samsung verschätzt sich bei Galaxy S6 und S6 Edge

  3. Store-Zubehör

    Anbieter müssen Designvorgaben von Apple einhalten

  4. US-Polizei

    iPhone-Hüllen können zur tödlichen Gefahr werden

  5. City-Surfer

    VW will elektrisches Dreirad bauen

  6. Ridewith

    Google steigt ins Mitfahrgeschäft ein

  7. Media Broadcast

    DVB-T2 verspricht exklusive Inhalte in 1080p/50

  8. Airbus E-Fan 2.0

    In 38 Minuten nach Calais

  9. Square Enix

    Mac-Version von Final Fantasy 14 zurückgezogen

  10. Smartphone

    Oneplus Two soll unter 450 US-Dollar kosten



Haben wir etwas übersehen?

E-Mail an news@golem.de



Berliner Datenschutzbeauftragter: Jemand muss den Datenschutz sexy machen!
Berliner Datenschutzbeauftragter
Jemand muss den Datenschutz sexy machen!
  1. UNHRC Die UNO hat einen Sonderberichterstatter für Datenschutz
  2. E-Gesundheitskarte Mangelnde Personenüberprüfung gefährdet Patientendaten
  3. EU-Ministerrat Showdown für Europas Datenschutz

Pebble Time im Test: Nicht besonders smart, aber watch
Pebble Time im Test
Nicht besonders smart, aber watch
  1. Smartwatch Pebble Time kostet außerhalb von Kickstarter 250 Euro
  2. Smartwatch Apple gibt iOS-App für die Pebble Time frei
  3. Smartwatch Pebbles iOS-App wird von Apple nicht freigegeben

Batman Arkham Knight im Test: Es ist kompliziert ...
Batman Arkham Knight im Test
Es ist kompliziert ...
  1. Arkham Knight Erster PC-Patch für Batman
  2. Technische Probleme Batman Arkham Knight nicht mehr auf Steam erhältlich

  1. Re: "Told you so..."

    dreamtide11 | 08:48

  2. Re: 2nd World Problems

    Chantalle47 | 08:48

  3. Re: Whatsapp statt eMail

    derKlaus | 08:47

  4. Re: Alle wussten, dass es nicht geht...

    SirFartALot | 08:47

  5. Re: Gibt es bereits seit Jahren

    MartinAachen92 | 08:46


  1. 08:47

  2. 08:34

  3. 08:30

  4. 08:18

  5. 07:35

  6. 07:10

  7. 18:12

  8. 18:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel