Abo
  • Services:

Kritische Sicherheitslücke im Linux-Kernel 2.6 entdeckt

Root-Zugriff als unberechtigter Benutzer möglich

Ein erneuter sogenannter "Null Pointer Dereference Flaw" in allen Versionen des Linux-Kernels 2.6 erlaubt es einfachen Benutzern, Root-Rechte auf einem Linux-System zu erlangen. Die Sicherheitslücke wurde von Kernel-Entwicklern bereits im aktuellen Release Candidate der neuen Kernel-Version 2.6.32 behoben.

Artikel veröffentlicht am ,

Der Entwickler Brad Spengler, der bereits im Juli eine Sicherheitslücke aufgedeckt hatte, hatte auf den Exploit Mitte Oktober 2009 mit einem Proof-of-Concept-Papier hingewiesen. Er kritisiert nun, die Veröffentlichungspolitik der Kernel-Entwickler sei nicht transparent genug, wenn es um Sicherheitslücken geht. Er findet es verwunderlich, dass die gravierende Sicherheitslücke nicht vom Entwicklerteam entdeckt wurde.

Stellenmarkt
  1. MAPAL Präzisionswerkzeuge Dr. Kress KG, Aalen
  2. DIEBOLD NIXDORF, Bonn

Der Fehler tritt auf allen bislang von Brad Spengler getesteten Red-Hat-Systemen auf. Betroffen sind auch der FreeBSD-Kernel und Debian-Systeme samt deren Derivaten. Ein Angreifer muss auf dem betroffenen Rechner lokal als Benutzer angemeldet sein. In den Kernel-Versionen 2.4 und bis 2.6.10 löst die Sicherheitslücke einen "copy_from_user"-Schreibzugriff in den Speicher aus.

Die Sicherheitslücke tritt auf, wenn das Feature "mmap_min_addr" deaktiviert ist. Liegt die Mindestadresse, auf die ein Prozess den Speicher ansprechen kann, bei null, kann der Exploit greifen. Zahlreiche Anwendungen, etwa die Emulatoren Dosemu und Qemu, zahlreiche Entwicklertools oder Wine benötigen aber den Zugriff auf den unteren Speicherbereich. Aus diesem Grund verzichten viele Distributionen darauf, die Option "mmap_min_addr" zu aktivieren. Im Debian-Wiki wird bereits seit Ende Oktober 2009 auf diese Problematik hingewiesen und ein Workaround beschrieben. Dort wird empfohlen, die mmap_min_addr-Einstellungen auf 4096 heraufzusetzen. Dies minimiert zumindest die Gefahr des Auftretens eines "Null Pointer Dereference Flaw". Die Wiki-Seite bietet auch eine Liste aller Applikationen, die von den heraufgesetzten Einstellungen betroffen sind.



Anzeige
Top-Angebote
  1. 6,49€
  2. 219€ (Vergleichspreis 251€)
  3. 19,89€ inkl. Versand (Vergleichspreis ca. 30€)

posix 26. Feb 2013

Nun die Aussage von Linus ist in der Tat unangebracht, Leute zu beschimpfen die es fertig...

posix 26. Feb 2013

Idiotischer gehts kaum noch. +1 Eben, jedem das seine. Bei so einer Aussage ist schon...

LinuXXXer 04. Nov 2009

Da reicht auch ein Win98SE. kaum einer der gängigen Schädlinge dürfte auf Win9X...

RaiseLee 04. Nov 2009

doppelthread ^^ https://forum.golem.de/kommentare/security/kritische-sicherheitsluecke-im...

lightfoot 04. Nov 2009

Achso, und wenn du wissen willst, was dein aktuell laufender Kernel da eingestellt hat...


Folgen Sie uns
       


Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live

Im Abschlussgespräch zur E3 2018 berichten die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek von ihren Eindrücken der Messe, analysieren die Auswirkungen auf die Branche und beantworten die Fragen der Zuschauer.

Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live Video aufrufen
Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

    •  /