Abo
  • Services:
Anzeige

Sicherheitslücken im Linux-Kernel

Mehr Fehler durch neues Entwicklungsmodell?

Zusammen mit der neuen Version 2.1.0 der Linux-Sicherheitssoftware grsecurity hat Brad Spengler auf vier Sicherheitslücken im Linux-Kernel hingewiesen und sich über den Umgang mit Sicherheitslücken im Linux-Kernel sowie dessen Code-Qualität beschwert. Derweil meldet Paul Starzetz von Isec im Binary-Loader des Linux-Kernel eine Sicherheitslücke.

Sowohl die von Brad Spengler als auch die von Paul Starzetz gefundenen Sicherheitslücken sind nur lokal, also mit einem vorhandenen Nutzer-Account ausnutzbar, erlauben es dann aber, die eigenen Nutzerrechte auszudehnen und so mitunter Root-Rechte zu erlangen.

Anzeige

Spengler stößt dabei der Umgang mit Sicherheitslücken im Kernel auf. Er habe Torvalds bereits am 15. Dezember 2004 über eine der Sicherheitslücken informiert, eine weitere sei Torvalds vom PaX-Team am 27. Dezember 2004 und danach auch nochmals von Andrew Morton mitgeteilt worden. Obwohl Torvalds sowie Morton zahlreiche Änderungen am Kernel vorgenommen hätten, seien die Sicherheitslücken auch nach drei Wochen noch nicht beseitigt, nach Ansicht von Spengler ausreichend Zeit, denn entsprechende Patches seien den E-Mails an Torvalds und Morton beigefügt gewesen.

Zudem habe er mit einer kleinen Analyse innerhalb von 15 Minuten vier weitere Sicherheitslücken finden können, vor allem im neuen Kernel 2.6. Spengler sieht einen verhängnisvollen Trend, denn es sei zehnmal einfacher, eine Sicherheitslücke im Linux-Kernel zu finden als in jeder anderen Applikation auf einem System. Schuld sei das neue Entwicklungsmodell des Kernel 2.6, bei dem experimenteller Code Einzug in den Kernel hält und später als "stabil" deklariert werde.

Auch Starzetz fügte der von ihm entdeckten Sicherheitslücke einen entsprechenden Exploit bei.


eye home zur Startseite
Rolf 21. Jan 2005

in jeder Hinsicht nicht (Spiele!!!), aber Mandrake 10.1 lies sich auf mehreren...

stehlampe0012 11. Jan 2005

also ich hab mir jetz mal die komplette diskussion durchgelesen und mich stellenweise...

M. Renz 11. Jan 2005

Servus, also ich hab mir hier jetzt nichts durchgelesen Aber ist doch gut dass diese...

Kaffesatz 11. Jan 2005

ist aber lustig hier ...

Michael - alt 11. Jan 2005

Sag mal, hast Du irgendein Problem? Sagt wer???? Du etwa? Lach... Das ist lächerliche Gro...



Anzeige

Stellenmarkt
  1. Software AG, Saarbrücken
  2. ADWEKO Consulting GmbH, deutschlandweit
  3. VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden
  4. Robert Bosch GmbH, Leonberg


Anzeige
Hardware-Angebote
  1. €199,24
  2. 17,99€ statt 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte

  2. Linux

    Kernel-Maintainer brauchen ein Manifest zum Arbeiten

  3. Micro Machines Word Series

    Kleine Autos in Kampfarenen

  4. Docsis 3.1

    Unitymedia bereitet erste Gigabit-Stadt vor

  5. Donald Trump

    Ein unsicherer Deal für die IT-Branche

  6. Apsara

    Ein Papierflieger wird zu Einweg-Lieferdrohne

  7. Angebliche Backdoor

    Kryptographen kritisieren Whatsapp-Bericht des Guardian

  8. Hyperloop

    Nur der Beste kommt in die Röhre

  9. HPE

    Unternehmen weltweit verfehlen IT-Sicherheitsziele

  10. Youtube

    360-Grad-Videos über Playstation VR verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: 1. Juli 2017

    TC | 17:13

  2. Re: IT ist eh ne Blase

    teenriot* | 17:11

  3. Re: kleine Minigames

    Missingno. | 17:08

  4. Re: Mahngebühren und Zahlungsverzug stecken...

    MK899 | 17:07

  5. Re: Na und?

    PhilSt | 17:05


  1. 17:06

  2. 16:49

  3. 16:22

  4. 15:31

  5. 15:03

  6. 13:35

  7. 12:45

  8. 12:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel