Sicherheitslücke in Linux erlaubt Ausspähen von Passwörtern

Fehler in der Behandlung von 64-Bit-File-Offset-Pointern entdeckt

Paul Starzetz weist auf eine Sicherheitslücke im Linux-Kernel hin, die es erlaubt, unbefugten, lokalen Nutzern kritische Daten wie Passwörter auszulesen. Schuld ist ein Fehler in der Behandlung von 64-Bit-File-Offset-Pointern.

Artikel veröffentlicht am ,

Der vom Kernel an Userland-Applikationen übergebene File-Offset-Wert wird an verschiedenen Stellen vom alten 32-Bit- in ein neues 64-Bit-Format (LFS) gewandelt, wodurch die Sicherheitslücke entsteht. In Folge dessen werden bei vielen Proc-Einträgen uninitialisierte Seiten des Kernel-Speichers angezeigt, was für einen Exploit genutzt werden kann, so Paul Starzetz.

Stellenmarkt
  1. Softwareentwickler MES (m/w/d)
    Hays AG, Dresden
  2. Prozessmanager (m/w/d)
    Wilkening + Hahne GmbH+Co. KG, Bad Münder
Detailsuche

Starzetz gelang es auf diese Weise, das Passwort eines per SSH angemeldeten Administrators auszuspähen.

Betroffen ist Linux bis einschließlich 2.4.26 und 2.6.7. Starzetz hält ein Update für dringend angeraten, sobald es durch die jeweiligen Distributoren bereit steht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


dxdiag 09. Aug 2004

Wie ich den Thread mitverfolgt habe, bist Du einer derjenigen mit Fachkompetent. Vor...

Mailerdemon 08. Aug 2004

Sorry, aber jetzt verstehe ich dich nicht. Ich habe nix weiter gesagt, als das MS mit den...

Michael - alt 08. Aug 2004

also du hast offenbar noch nie ein it-system betrieben. abgesehen davon, mal zuhause mit...

Mailerdemon 08. Aug 2004

O.K. ich revidiere meinen Thread, man kommt unter Linux nicht an die shadow, nur an die...

Turbo 08. Aug 2004

sorry ab das ist mir zu lang um es durchzulesen.



Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Linux: Vom einfachen Speicherfehler zur Systemübernahme
    Linux
    Vom einfachen Speicherfehler zur Systemübernahme

    Ein häufig vorkommender Fehler in C-Code hat einen Google-Entwickler motiviert, über Gegenmaßnahmen nachzudenken.

  2. Social-Media-Plattform: Paypal will Pinterest kaufen
    Social-Media-Plattform
    Paypal will Pinterest kaufen

    Der Zahlungsabwickler Paypal soll bereit sein, 45 Milliarden US-Dollar für den Betreiber digitaler Pinnwände zu bezahlen.

  3. Pixel 6 (Pro): Googles Tensor-SoC ist eine wilde Mischung
    Pixel 6 (Pro)
    Googles Tensor-SoC ist eine wilde Mischung

    Viel Samsung, wenig Google: Der Chip kombiniert extreme Computational Photography mit einem kuriosen Design zugunsten der Akkulaufzeit.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /