Anzeige

FreeBSD: Neue Versionen mit Sicherheitspatches

Fehler in den FreeBSD-Versionen 6.3, 6.4, 7.1 und 7.2

Neu entdeckte Designfehler im Dateisystemmodul und den kürzlich bekanntgewordenen Fehler im Linux-Kernel beheben FreeBSD-Entwickler in neuen Versionen für FreeBSD 6.x und 7.x. Die Patches liegen als Updates und im Quelltext vor.

Anzeige

Für einen im Linux-Kernel entdeckten Fehler, der auch FreeBSD betrifft, haben FreeBSD-Entwickler nun eine Lösung gefunden, indem sie Anwendungen den Zugriff auf die neuralgische Adresse 0 verbieten. Nach Einspielen eines Updates erscheint die sysctl-Variable security.bsd.map_at_zero, die dann noch manuell auf "0" gesetzt werden muss.

In künftigen Versionen, die den Patch bereits enthalten, wird die Variable auch standardmäßig korrekt gesetzt sein. Entwickler warnen jedoch vor möglichen Problemen mit Anwendungen, die speziell auf Address-0-Mapping angewiesen sind, und raten zu ausführlichen Tests. Betroffen sein könnten vor allem virtuelle Maschinen, Emulatoren oder ältere Binärdateien im a.out-Format.

In der Kommunikation zwischen dem Gerätesystem Devfs und dem virtuellen Dateisystem VFS des Kernels können auf Grund eines Fehlers zwei Threads den gleichen kritischen Bereich belegen. Wird dieser sogenannte Race-Condition ausgenutzt, erlangt ein Angreifer unter Umständen Root-Privilegien oder es kann zu Datenverlust oder einem Crash kommen.

Nur in den Versionen 6.3 und 6.4 taucht ein Race-Condition im Zusammenhang mit dem Pipe-close()-Aufruf im Kqueue-API des Kernels auf, mit dem Anwendungen auf die Kernel-Services zugreifen. Auch hier kann es unter Umständen zu einem Kernel-Crash mit Datenverlust kommen. Diese Sicherheitslücke kann allerdings nur von Angreifern ausgenutzt werden, die Code lokal ausführen dürfen. [von Jörg Thoma]


eye home zur Startseite
IrgendEinAnderer 05. Okt 2009

Dieses ideologische Problem ist mir durchaus bewußt. Das ursprüngliche Posting zielte...

Deppert 05. Okt 2009

ja lustig .. hab ich mir vertippt .. Asche über mein Haupt und so. Is natürlich BSD und...

Siga9876 05. Okt 2009

Bei BSD kann man strlen(NULL) machen und kriegt 0 zurück. Bei SysV kriegt man eine fette...

Kommentieren



Anzeige

  1. Softwareentwickler (m/w) JAVA
    Habermaaß GmbH, Bad Rodach
  2. Senior Experte AT (m/w) Software Developer Connected Home Community
    Deutsche Telekom AG, Darmstadt
  3. Entwicklungsingenieur/in
    Robert Bosch GmbH, Leonberg
  4. Systemingenieur/-in
    Robert Bosch GmbH, Tamm

Detailsuche



Anzeige

Folgen Sie uns
       


  1. CCIX

    Ein Interconnect für alle

  2. Service

    Telekom-Chef kündigt Techniker-Termine am Samstag an

  3. Ausstieg

    Massenentlassungen in Microsofts Smartphone-Sparte

  4. Verbot von Geoblocking

    Brüssel will europäischen Online-Handel ankurbeln

  5. Konkurrenz zu DJI

    Xiaomi mit Kampfpreis für Mi-Drohne

  6. Security-Studie

    Mit Schokolade zum Passwort

  7. Lenovo

    Moto G4 kann doch mit mehr Speicher bestellt werden

  8. Alle 20 Minuten

    EU-Kommission erlaubt deutlich mehr Fernsehwerbung

  9. Samsung

    Keine neuen Smartwatches mit Android Wear geplant

  10. Cryorig Ola

    Das Gehäuse, um den Mac Pro selbst zu bauen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands On: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands On
Lenovos sonderbare Entscheidung
  1. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  2. Motorola Aktionspreise für aktuelle Moto-Smartphones

Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

  1. Re: Alle 20 Minuten?

    der_wahre_hannes | 16:54

  2. Re: Oettinger: Zuschauer können wegzappen

    JensM | 16:54

  3. Re: und dann?

    perryflynn | 16:54

  4. Techniker nehmen Termine nicht wahr?

    Mett | 16:53

  5. Re: Was ist an den Analogien schwer zu verstehen?

    theonlyone | 16:52


  1. 16:54

  2. 16:41

  3. 15:47

  4. 15:45

  5. 15:38

  6. 15:33

  7. 15:15

  8. 14:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel