Im Linux-Kernel blieb erneut eine Sicherheitslücke lange unentdeckt.
Im Linux-Kernel blieb erneut eine Sicherheitslücke lange unentdeckt. (Bild: Jerzy Strzelecki/CC-BY 3.0)

Security Gefährliche Lücke im Linux-Kernel

Über eine Schwachstelle im Linux-Kernel kann sich ein lokaler Angreifer von einem eingeschränkten Konto Root-Rechte verschaffen. Die Schwachstelle besteht bereits seit mehreren Jahren. Die Lücke wurde klammheimlich geschlossen.

Anzeige

Die jetzt bekanntgewordene Sicherheitslücke im Linux-Kernel betrifft alle Versionen von 2.6.37 bis 3.8.8 und ist mehrere Jahre unentdeckt geblieben. Ob der inzwischen veröffentlichte Exploit die Kernel-Entwickler dazu brachte, die Schwachstelle zu patchen oder der Patch Hacker dazu animierte, die noch offene Lücke zu nutzen, lässt sich nicht genau sagen. Fest steht allerdings, dass der Kernel-Entwickler Tommi Rantala die Lücke im April 2013 geschlossen hat - ohne jedoch auf die Sicherheitslücke hinzuweisen. Erst nach der Verbreitung des Exploits wies Canonical-Entwickler Marc Deslauriers auf die Schwachstelle hin, die dann die CVE-Nummer 2013-2094 erhielt.

Der Linux-Kernel muss mit der Option CONFIG_PERF_EVENTS kompiliert werden, damit ein Angreifer Root-Rechte über beliebige Speicherbereiche erlangen kann. Welche Distributionen von dem Fehler betroffen sind, ist nicht ganz klar. Das Subsystem für Performance Counters ist zumindest in CentOS standardmäßig aktiviert. Der Exploit zielt auch explizit auf dieses System ab. Vor allem auf Webservern, auf denen zahlreiche nicht privilegierte Dienste im Userspace laufen, könnte die Lücke ausgenutzt werden.

Es ist nicht das erste Mal, dass die Kernel-Entwickler einen Patch eingereicht haben, ohne ihn als Fix für eine Schwachstelle zu deklarieren. Das kritisieren unter anderem der Kernel-Entwickler Eugene Teo und der Verantwortliche für die Kernel-Sicherheit bei Red Hat Kurt Seifried auch in E-Mails an die OSS-Security-Mailingliste. Auch der auf Sicherheitsfragen spezialisierte Kernel-Entwickler Brad Spengler kritisierte die mangelnde Transparenz der Kernel-Hacker und veröffentlichte eine detaillierte Beschreibung der Lücke. Greg Kroah-Hartman weist darauf hin, dass solche Fehler ständig repariert werden und sich nicht immer als Sicherheitslücken identifizieren lassen.

Red Hat hat inzwischen einen Workaround für die Lücke veröffentlicht, der genutzt werden kann, solange die gepatchten Versionen des Linux-Kernels noch nicht in Umlauf sind. Unter Ubuntu ist bereits ein Kernel-Update erschienen.


George99 17. Mai 2013

Es gab von CentOS auch schon am 14. einen eigenen Patch, bloß der offizielle Patch...

renegade334 17. Mai 2013

... dann habe ich schon gleich gedacht, dass es genügend Trolle sich in Versuchung sehen...

soulflare 17. Mai 2013

Leute, hier wurde überhaupt nichts klammheimlich geschlossen. Der Fehler wurde ganz...

EvilSheep 17. Mai 2013

Du schimpfst hier über einen kleinen Teil der OpenSource Nutzer die sich in Foren...

Kernschmelze 17. Mai 2013

Mit meiem OS X bin ich erst mal aus der gröbsten Schusslinie raus. Aber auch hier kommt...

Kommentieren




Anzeige

  1. Leiter IT (m/w)
    über JobLeads GmbH, Hamburg
  2. IT-Spezialist (m/w)
    über Hanseatisches Personalkontor Bremen, Großraum Bremen
  3. Ingenieur (m/w) Telekommunikationstechnik
    EWR GmbH, Remscheid
  4. Template Architekt / Consultant "General Ledger & Combined Processes" (m/w)
    Deutsche Telekom Accounting GmbH, Bonn

Detailsuche


Blu-ray-Angebote
  1. VORBESTELLBAR: Mad Max: Fury Road Sammleredition (3D-Steelbook & Interceptor-Modell) [3D Blu-ray] [Limited Edition]
    129,99€ (Vorbesteller-Preisgarantie)
  2. NEU: Blu-rays je 6,97 EUR oder günstiger
    (u. a. Bad Country, Nirgendwo in Afrika, Elvis Presley, The Breed)
  3. Warrior [Blu-ray]
    5,99€

Weitere Angebote


Folgen Sie uns
       


  1. Set-Top-Box

    Neues Apple TV soll teurer werden, aber Sprachsuche bieten

  2. Kickstarter

    Kultkamera Holga soll digital werden

  3. Elektroauto

    Tesla Model X wird teuer

  4. Lenovo Yoga Tab 3 Pro

    10-Zoll-Tablet mit eingebautem 70-Zoll-Projektor

  5. Smartwatches

    Motorola stellt neue Moto 360 und Moto 360 Sport vor

  6. Umfrage

    Jeder vierte Nutzer hat Probleme beim Streaming

  7. Asus GX700

    Übertakter-Notebook läuft mit WaKü und geheimer Nvidia-GPU

  8. Testlauf

    Techniker Krankenkasse zahlt Ärzten Online-Videosprechstunde

  9. Mate S im Hands On

    Huawei präsentiert Smartphone mit Force-Touch-Display

  10. Smartwatch

    Huawei Watch kostet so viel wie Apple Watch



Haben wir etwas übersehen?

E-Mail an news@golem.de



Rare Replay im Test: Banjo, Conker und mehr im Paket
Rare Replay im Test
Banjo, Conker und mehr im Paket
  1. Elite Bundle Xbox One startet ein bisschen schneller
  2. Microsoft Warum Quantum Break nicht für Windows erscheint
  3. Xbox One DVR-Funktion erscheint vorerst nicht in Deutschland

Windows 10 im Upgrade-Test: Der Umstieg von Windows 7 auf 10 lohnt sich!
Windows 10 im Upgrade-Test
Der Umstieg von Windows 7 auf 10 lohnt sich!
  1. Microsoft Neuer Insider-Build von Windows 10
  2. Windows 10 Erfolgreicher als das angeblich erfolgreiche Windows 8
  3. Windows 10 Updates lassen sich unter Umständen 12 Monate aufschieben

TempleOS im Test: Göttlicher Hardcore
TempleOS im Test
Göttlicher Hardcore
  1. Windows-10-Updates Microsoft intensiviert die Geheimniskrämerei
  2. Windows-Insider-Programm Chrome hat Probleme mit Windows 10 Build 10525
  3. Microsoft Erster Insider-Build seit dem Erscheinen von Windows 10

  1. Re: Jetzt bitte mit noch kleinerem Akku...

    Dwalinn | 08:48

  2. Re: 15 minutes of fame...

    divStar | 08:46

  3. Re: Teurer, geringere Reichweite, geringere...

    psi_2k | 08:45

  4. Re: mit HTML5 hörten die Probleme auf

    bofhl | 08:45

  5. Noch mehr Hardware-Schrott

    LCO | 08:44


  1. 08:38

  2. 08:24

  3. 08:18

  4. 22:20

  5. 21:45

  6. 21:17

  7. 18:20

  8. 17:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel