Sicherheitslücken im Linux-Kernel

Mehr Fehler durch neues Entwicklungsmodell?

Zusammen mit der neuen Version 2.1.0 der Linux-Sicherheitssoftware grsecurity hat Brad Spengler auf vier Sicherheitslücken im Linux-Kernel hingewiesen und sich über den Umgang mit Sicherheitslücken im Linux-Kernel sowie dessen Code-Qualität beschwert. Derweil meldet Paul Starzetz von Isec im Binary-Loader des Linux-Kernel eine Sicherheitslücke.

Anzeige

Sowohl die von Brad Spengler als auch die von Paul Starzetz gefundenen Sicherheitslücken sind nur lokal, also mit einem vorhandenen Nutzer-Account ausnutzbar, erlauben es dann aber, die eigenen Nutzerrechte auszudehnen und so mitunter Root-Rechte zu erlangen.

Spengler stößt dabei der Umgang mit Sicherheitslücken im Kernel auf. Er habe Torvalds bereits am 15. Dezember 2004 über eine der Sicherheitslücken informiert, eine weitere sei Torvalds vom PaX-Team am 27. Dezember 2004 und danach auch nochmals von Andrew Morton mitgeteilt worden. Obwohl Torvalds sowie Morton zahlreiche Änderungen am Kernel vorgenommen hätten, seien die Sicherheitslücken auch nach drei Wochen noch nicht beseitigt, nach Ansicht von Spengler ausreichend Zeit, denn entsprechende Patches seien den E-Mails an Torvalds und Morton beigefügt gewesen.

Zudem habe er mit einer kleinen Analyse innerhalb von 15 Minuten vier weitere Sicherheitslücken finden können, vor allem im neuen Kernel 2.6. Spengler sieht einen verhängnisvollen Trend, denn es sei zehnmal einfacher, eine Sicherheitslücke im Linux-Kernel zu finden als in jeder anderen Applikation auf einem System. Schuld sei das neue Entwicklungsmodell des Kernel 2.6, bei dem experimenteller Code Einzug in den Kernel hält und später als "stabil" deklariert werde.

Auch Starzetz fügte der von ihm entdeckten Sicherheitslücke einen entsprechenden Exploit bei.


Rolf 21. Jan 2005

in jeder Hinsicht nicht (Spiele!!!), aber Mandrake 10.1 lies sich auf mehreren...

stehlampe0012 11. Jan 2005

also ich hab mir jetz mal die komplette diskussion durchgelesen und mich stellenweise...

M. Renz 11. Jan 2005

Servus, also ich hab mir hier jetzt nichts durchgelesen Aber ist doch gut dass diese...

Kaffesatz 11. Jan 2005

ist aber lustig hier ...

Michael - alt 11. Jan 2005

Sag mal, hast Du irgendein Problem? Sagt wer???? Du etwa? Lach... Das ist lächerliche Gro...

Kommentieren



Anzeige

  1. Mitarbeiter / innen für den IT-Bereich
    Landeshauptstadt München, München
  2. Web Designer (m/w)
    PRODINGER|GFB Tourismusmarketing, München
  3. (Senior-)Berater (m/w) SAP CRM
    Capgemini Deutschland GmbH, verschiedene Standorte
  4. Softwaretester / Testautomatisierer (m/w)
    TONBELLER AG, Bensheim

 

Detailsuche


Folgen Sie uns
       


  1. Photokina 2014

    Olympus stellt Open-Source-Kamerakonzept vor

  2. Neue iPhone-Modelle

    Apple hofft auf Android-Umsteiger

  3. Freies Betriebssystem

    Minix 3.3.0 läuft auf ARM

  4. Imsi-Catcher

    Catch me if you can

  5. Peering

    Netflix streamt mit 100 Gigabit nach Deutschland

  6. Totem

    VR-Headset mit Kameras und auch für Konsolen

  7. Eigene Tasten-Switches

    Logitech bringt Gaming-Tastatur für 180 Euro

  8. Assassin's Creed Unity

    Killer im Koop

  9. Mittelformatkamera H5D-50c

    Hasselblad mit WLAN

  10. Angelbird SSD2Go Pocket im Test

    Quadratisch, praktisch, schnell



Haben wir etwas übersehen?

E-Mail an news@golem.de



Ultra High Definition: Scharf allein ist nicht genug
Ultra High Definition
Scharf allein ist nicht genug
  1. Ifa Vodafone Deutschland und Cisco bringen 4K-Set-Top-Box
  2. Alpentab Wienerwald Das Holztablet mit Bay Trail oder als Nobelversion
  3. Dell UltraSharp 27 Ultra HD 5K 27-Zoll-Monitor mit 5.120 x 2.880 Pixeln

Amazons Fire Phone im Kurztest: Überzeugendes Bedienungskonzept und clevere Funktionen
Amazons Fire Phone im Kurztest
Überzeugendes Bedienungskonzept und clevere Funktionen
  1. Trade-In Amazon.de kauft gebrauchte Smartphones und Tablets an
  2. Vor dem Netflix-Marktstart Amazons Video-Streaming-App für Android ist da
  3. Set-Top-Box Amazon.de verschiebt Lieferung für Fire TV auf 2015

NFC in der Analyse: Probleme und Chancen der Nahfunktechnik
NFC in der Analyse
Probleme und Chancen der Nahfunktechnik
  1. NFC iPhone 6 soll zum digitalen Portemonnaie werden
  2. Mini-PC Broadwell- und Braswell-NUCs laden Smartphones drahtlos

    •  / 
    Zum Artikel