Linux-Root-Exploit umgeht Sicherheitserweiterungen

Compiler-Optimierungen sind offenbar schuld an Problem

Brad Spengler vom Grsecurity-Projekt hat einen Exploit für den Linux-Kernel veröffentlicht, mit dem Root-Rechte erlangt werden können. Ausnutzen lässt sich die Sicherheitslücke nur bei zwei Kernel-Versionen - allerdings helfen dann auch Sicherheitserweiterungen wie SELinux nichts mehr.

Anzeige

Der Exploit nutzt eine Lücke im Tun-Device des Linux-Kernels aus. Dabei soll dies nur beim Linux-Kernel 2.6.30 sowie dem in Red Hat Enterprise Linux 5 verwendeten Kernel 2.6.18 funktionieren. Besonders ist der Exploit aber dennoch, denn offenbar schaltet er Sicherheitserweiterungen wie SELinux, AppArmor und LSM ab.

 
Video: Demonstration des Exploits

Das Problem scheint eine Null-Pointer-Dereference zu sein, die sich unter normalen Umständen nicht ausnutzen lässt. Durch Optimierungsfunktionen des GCC werden allerdings Teile des betreffenden Codes entfernt, wodurch die Sicherheitslücke entsteht.

Die Lösung ist daher auch einfach: Bei dem problematischen Code muss die Prüfung vor der Variablenzuweisung erfolgen, wie das Internet Storm Center berichtet.


Der Kaiser! 21. Jul 2009

Dann ist man selber der geknautschte.. Habs kapiert. :)

spanther 20. Jul 2009

Boah er meinte als Produktivdistribution mensch! Die wird sicher NIEMAND zum surfen etc...

spanther 19. Jul 2009

Ich finde das gegenseitige Helfen schön und ein dummes Konsumschaaf will ich auch nicht...

Trollitroll 18. Jul 2009

Funktionierendes Window? Der Witz war gut!

Hust! 18. Jul 2009

Besonderheit 2009-beta Erscheinungsdatum 2009/06/19 http://distrowatch.com/table.php...

Kommentieren


datenhafen / 17. Jul 2009

Exploiting Linux



Anzeige

  1. (Junior) Online-Marketing Manager (m/w)
    Jobware Online-Service GmbH, Paderborn
  2. Applicationmanager/in / (Teil-)Projektleiter/in im Bereich Business Intelligence
    Daimler AG, Stuttgart
  3. Project Manager (m/w) IT Solutions in the Pharma Industry
    Entimo AG, Berlin
  4. PC Software Entwickler (m/w) Automotive HMI
    Continental AG, Villingen-Schwenningen

 

Detailsuche


Folgen Sie uns
       


  1. Cortana im Test

    Gebt Windows Phone eine Stimme

  2. Megaupload

    Kim Dotcom bekommt sein Vermögen zurück

  3. Wolfenstein The New Order

    "Als Ein-Mann-Armee gegen eine Übermacht"

  4. Microsoft Office 365 Personal

    Günstigeres Cloud-Office für Privatpersonen

  5. Planeten

    Bekommt der Saturn Nachwuchs?

  6. Linux

    Fehlende Kconfig-Details verärgern Distro-Maintainer

  7. Intel

    Umsatz mit Smartphones und Tablets bricht massiv ein

  8. Samsung

    Galaxy-S5-Bauteile teurer als beim iPhone 5S und Galaxy S4

  9. OLED

    Das merkwürdige Bindungsverhalten organischer Halbleiter

  10. Nach Undercover-Recherche

    Zalando geht juristisch gegen RTL-Journalistin vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Test LG L40: Android 4.4.2 macht müde Smartphones munter
Test LG L40
Android 4.4.2 macht müde Smartphones munter

Mit dem L40 präsentiert LG eines der ersten Smartphones mit der aktuellen Android-Version 4.4.2, das unter 100 Euro kostet. Dank der Optimierungen von Kitkat überrascht die Leistung des kleinen Gerätes - und es dürfte nicht nur für Einsteiger interessant sein.

  1. LG G3 5,5-Zoll-Smartphone mit 1440p-Display und Kitkat
  2. LG L35 Smartphone mit Android 4.4 für 80 Euro
  3. Programmierbare LED-Lampe LG kündigt Alternative zur Philips Hue an

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed
OpenSSL
Wichtige Fragen und Antworten zu Heartbleed

Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.

  1. OpenSSL OpenBSD mistet Code aus
  2. OpenSSL-Lücke Programmierer bezeichnet Heartbleed als Versehen
  3. OpenSSL-Bug Spuren von Heartbleed schon im November 2013

Windows 8.1 Update 1 im Test: Ein lohnenswertes Miniupdate
Windows 8.1 Update 1 im Test
Ein lohnenswertes Miniupdate

Microsoft geht wieder einen Schritt zurück in die Zukunft. Mit dem Update 1 baut der Konzern erneut Funktionen ein, die vor allem für Mausschubser gedacht sind. Wir haben uns das Miniupdate für Windows 8.1 pünktlich zur Veröffentlichung angesehen.

  1. Microsoft Installationsprobleme beim Windows 8.1 Update 1
  2. Windows 8.1 Update 1 Wieder mehr minimieren und schließen
  3. Microsoft Windows 8.1 Update 1 vorab verfügbar

    •  / 
    Zum Artikel