FreeBSD: Neue Versionen mit Sicherheitspatches

Fehler in den FreeBSD-Versionen 6.3, 6.4, 7.1 und 7.2

Neu entdeckte Designfehler im Dateisystemmodul und den kürzlich bekanntgewordenen Fehler im Linux-Kernel beheben FreeBSD-Entwickler in neuen Versionen für FreeBSD 6.x und 7.x. Die Patches liegen als Updates und im Quelltext vor.

Anzeige

Für einen im Linux-Kernel entdeckten Fehler, der auch FreeBSD betrifft, haben FreeBSD-Entwickler nun eine Lösung gefunden, indem sie Anwendungen den Zugriff auf die neuralgische Adresse 0 verbieten. Nach Einspielen eines Updates erscheint die sysctl-Variable security.bsd.map_at_zero, die dann noch manuell auf "0" gesetzt werden muss.

In künftigen Versionen, die den Patch bereits enthalten, wird die Variable auch standardmäßig korrekt gesetzt sein. Entwickler warnen jedoch vor möglichen Problemen mit Anwendungen, die speziell auf Address-0-Mapping angewiesen sind, und raten zu ausführlichen Tests. Betroffen sein könnten vor allem virtuelle Maschinen, Emulatoren oder ältere Binärdateien im a.out-Format.

In der Kommunikation zwischen dem Gerätesystem Devfs und dem virtuellen Dateisystem VFS des Kernels können auf Grund eines Fehlers zwei Threads den gleichen kritischen Bereich belegen. Wird dieser sogenannte Race-Condition ausgenutzt, erlangt ein Angreifer unter Umständen Root-Privilegien oder es kann zu Datenverlust oder einem Crash kommen.

Nur in den Versionen 6.3 und 6.4 taucht ein Race-Condition im Zusammenhang mit dem Pipe-close()-Aufruf im Kqueue-API des Kernels auf, mit dem Anwendungen auf die Kernel-Services zugreifen. Auch hier kann es unter Umständen zu einem Kernel-Crash mit Datenverlust kommen. Diese Sicherheitslücke kann allerdings nur von Angreifern ausgenutzt werden, die Code lokal ausführen dürfen. [von Jörg Thoma]

Kommentarübersicht
Re: Wer weiß, wer weiß
IrgendEinAnderer 05. Okt 2009

Dieses ideologische Problem ist mir durchaus bewußt. Das ursprüngliche Posting zielte...

Re: BDS <->Linuxkernel?
Deppert 05. Okt 2009

ja lustig .. hab ich mir vertippt .. Asche über mein Haupt und so. Is natürlich BSD und...

SysV-NULL-Handling
Siga9876 05. Okt 2009

Bei BSD kann man strlen(NULL) machen und kriegt 0 zurück. Bei SysV kriegt man eine fette...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Informatiker/in bzw. Ingenieur/in (FH/DH) für angewandte Informatik / Informations­technik
    Karlsruher Institut für Technologie, Karlsruhe
  2. Informatiker / Fachinformatiker IT Support (m/w)
    CROWN Gabelstapler GmbH & Co. KG, München
  3. IT Ingenieur/-in Fachgebiet Desktop Basic
    ZF Friedrichshafen AG, Friedrichshafen
  4. Software Team Coordinator (m/w)
    Olympus Soft Imaging Solutions GmbH, Münster

 

Detailsuche

Folgen Sie uns
       
Videos
Facebook stellt eigene Kamera-App vor Facebook stellt eigene Kamera-App vor
Meistgelesen
  1. Kim Dotcom

    "Gebt mir meine Rechner zurück!"
  2. PGP vs. Geheimdienste

    "PGP ist weiterhin sicher"
  3. Anstößige Animationen

    Cinemagram-App wieder in Apples App Store
  4. Google Maps

    Behörde verschleudert Bundesdaten an Google
  5. Bang! Lamp

    Eine Designlampe zum Abknallen
Meistkommentiert
  1. IMHO: Warum ich nicht Diablo 3 spiele

    Kommentare: 382 | letzter Beitrag 11:50 Uhr

  2. Bundesregierung: Deutsche Geheimdienste können PGP entschlüsseln

    Kommentare: 215 | letzter Beitrag 11:40 Uhr

  3. USB-Sticks und Speicherkarten: Pauschalabgaben sollen von 10 Cent auf knapp 2 Euro steigen

    Kommentare: 208 | letzter Beitrag 12:43 Uhr

  4. F2, F8, F12: Windows 8 startet zu schnell

    Kommentare: 180 | letzter Beitrag 12:20 Uhr

  5. Via APC: Android-PC zum Selbstbauen für 49 US-Dollar

    Kommentare: 125 | letzter Beitrag 24.05. 18:01

Mehr

Ticker
  1. Test HTC One XL

    Smartphone-Leichtgewicht mit LTE

  2. Gerücht

    Spiele-Streaming kommt auf die Playstation

  3. Owncloud Inc.

    "Wir sind kein Serviceprovider"

  4. Street View

    US-Abgeordnete fordern Untersuchung der WLAN-Datensammlung

  5. Schadsoftware

    Empfänger von Angry-Birds-SMS muss Strafe zahlen

  6. Project Glass

    Videoaufnahme mit der Google-Brille

  7. Bernd Schlömer

    Piratenchef darf im Dienst weder mailen noch twittern

  8. Toshiba AT300

    10-Zoll-Tablet mit Quad-Core-Prozessor und Android 4

  9. Kingdoms of Amalur

    38 Studios entlässt alle Mitarbeiter

  10. Solarflugzeug

    Solar Impulse kommt in Madrid an

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Facebook
Soziale Pornos: Facebook verliert Klage gegen Faceporn
Soziale Pornos
Facebook verliert Klage gegen Faceporn

Ein soziales Netzwerk für Pornografie muss seine Marke nicht an Facebook übergeben. Faceporn, ein norwegisches Unternehmen, freut sich über den Sieg vor einem kalifornischen Gericht.

  1. iOS Facebook bringt eigene Kamera-App auf den Markt
  2. Redesign Facebook bastelt an einer veränderten Chronik
  3. Umsatzwarnung Facebook offenbar selbst an schwachem Börsenstart schuld
Energy Harvesting
Energy Harvesting: Strom aus dem Teelicht
Energy Harvesting
Strom aus dem Teelicht

T-Pod ist ein kleines Kraftwerk für unterwegs. Betrieben mit einer kleinen Kerze, erzeugt das Gerät Strom für eine Leselampe oder das Laden des Smartphone-Akkus.

  1. Energy Harvesting Viren in der Schuhsohle liefern Strom fürs Smartphone
  2. Saubere Energie In New York kommt Strom bald aus der Wasserleitung
IMHO
IMHO: Warum ich nicht Diablo 3 spiele
IMHO
Warum ich nicht Diablo 3 spiele

Diablo 3 ist toll, sagen viele Spieler - Diablo 3 ist eine Stimulus-Response-Maschine, sagt Rainer Sigl. Der Blogger und leidenschaftliche Gamer erklärt, warum er sich Blizzards jüngstem Werk verweigert.

  1. IMHO Bitte aufwachen, Hollywood!
  2. IMHO Die Cebit verpufft in der Wolke
Forumsbeiträge »
  1. Google Maps Behörde verschleudert Bundesdaten an Google

    Re: wieso heulen die so rum?

    YoungManKlaus | 12:57

  2. PGP vs. Geheimdienste "PGP ist weiterhin sicher"

    Re: Déja Vu?

    Nolan ra Sinjaria | 12:57

  3. Project Glass Videoaufnahme mit der Google-Brille

    Re: OMG , was soll das ?

    Coding4Money | 12:57

  4. Bernd Schlömer Piratenchef darf im Dienst weder mailen noch twittern

    In Ägypten

    Realist_X | 12:56

  5. Project Glass Videoaufnahme mit der Google-Brille

    Re: Daemon & Darknet

    tomate.salat.inc | 12:56

Ticker »
  1. Test HTC One XL Smartphone-Leichtgewicht mit LTE

    12:29

  2. Gerücht Spiele-Streaming kommt auf die Playstation

    12:28

  3. Owncloud Inc. "Wir sind kein Serviceprovider"

    12:25

  4. Street View US-Abgeordnete fordern Untersuchung der WLAN-Datensammlung

    12:06

  5. Schadsoftware Empfänger von Angry-Birds-SMS muss Strafe zahlen

    11:55

  6. Project Glass Videoaufnahme mit der Google-Brille

    11:41

  7. Bernd Schlömer Piratenchef darf im Dienst weder mailen noch twittern

    11:41

  8. Toshiba AT300 10-Zoll-Tablet mit Quad-Core-Prozessor und Android 4

    11:27

Zum Artikel