Abo
  • Services:

Dirty Cow: Schmutzige Kuh im Linux-Kernel wird gebändigt

Eine alte Sicherheitslücke im Linux-Kernel lässt sich relativ leicht ausnutzen - und verschafft einfachen Nutzern Root-Rechte. Die Entdecker machen sich mit dem Branding der Sicherheitslücke auch über Logos und Sicherheitslücken-Fanshops lustig.

Artikel veröffentlicht am ,
Eine alte Sicherheitslücke im Linux-Kernel wurde gepatcht.
Eine alte Sicherheitslücke im Linux-Kernel wurde gepatcht. (Bild: Dirty Cow)

Linus Torvalds hat einen Patch für eine Schwachstelle im Linux-Kernel freigegeben, die auch einfachen Nutzern die Veränderung von Dokumenten ermöglicht, die eigentlich Root-Rechte benötigen. Die beteiligten Sicherheitsforscher haben der Lücke den Namen Dirty Cow gegeben -auch, um sich über das zunehmende Branding von Sicherheitslücken lustig zu machen.

Stellenmarkt
  1. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Der Name Cow ist aber nicht zufällig gewählt - sondern bezieht sich auf die verwundbare Funktion im Kernel: Copy-on-Write. Mit Copy-on-Write sollen unnötige Kopiervorgänge im Hauptspeicher oder auf dem Dateisystem vermieden werden. Angreifer können eine sogenannte Race-Condition herbeiführen, um eigentlich als nur lesbar eingestufte Dateien im Besitz von Root zu verändern. Sie machen sich dabei zu Nutze, dass Sie nicht die Datei selbst verändern, sondern aktuell im Speicher gemappte Inhalte der Datei - die dann später per Copy-on-Write auf die Festplatte geschrieben wird.

Kernel ab Version 2.6.22 betroffen

Betroffen sind Kernel-Versionen seit der Version 2.6.22, somit dürften nicht nur viele aktuelle Distributionen betroffen sein, sondern Millionen von IoT-Geräten, die meist mit älteren Distributionen arbeiten und in der Regel keine Updates erhalten. Auch Android-Geräte sind betroffen, von denen zahlreiche ebenfalls nicht mehr mit Updates versorgt werden.

Nach Angaben von The Register sind entsprechende Exploits bereits im Umlauf und werden aktiv ausgenutzt. Linus Torvalds hatte Anfang der Woche auf der Kernel-Mailingliste zugegeben, dass er bereits vor elf Jahren versucht habe, den Bug zu fixen, aber damals daran gescheitert sei. Weil sich die Sicherheitslücke damals nicht trivial habe ausnutzen lassen, habe er das Problem nicht weiterverfolgt.

Patches für große Distributionen wie Red Hat Enterprise Linux (RHEL), Debian und Ubuntu sind bereits herausgegeben und lassen sich über die interne Update-Funktion einspielen.

Die Entwickler der Lücke haben einen wohl nicht ganz ernst gemeinten Fanshop eingerichtet - dort verkaufen Sie zahlreiche Produkte mit dem entsprechenden Logo, darunter Mauspads, T-Shirts und Kaffeebecher. Die Preise liegen deutlich über 1000 Euro pro Produkt.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 50,99€ mit Vorbesteller-Preisgarantie
  3. 12,99€ + 1,99€ Versand oder Abholung im Markt
  4. 399,99€ mit Vorbesteller-Preisgarantie

lumks 22. Okt 2016

ahh okey. Danke :)

triplekiller 21. Okt 2016

dass er sich daran noch erinnert ist erstaunlich. für mich ist programmieren wie ein bich...

gadthrawn 21. Okt 2016

Attempted -versucht. Aber eben nicht gefixt. Und ist normal. Bei Problemen in der lkml...

Anonymer Nutzer 21. Okt 2016

... da ptrace nicht erlaubt wird und kein schreibender zugriff auf /proc/*/mem, was...

Proctrap 21. Okt 2016

Fix von Torvalds ist jedoch ne Woche alt


Folgen Sie uns
       


Volocopter auf der Cebit 2018 angesehen

Im autonomen Volocopter haben zwei Personen mit zusammen höchstens 160 Kilogramm Platz - wir haben uns auf der Cebit 2018 trotzdem reingesetzt.

Volocopter auf der Cebit 2018 angesehen Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

    •  /