• IT-Karriere:
  • Services:

Linux-Kernel: Fehlende Diskussionen können Sicherheitslücken preisgeben

Das Verhalten bei der Integration von Patches in den Linux-Kernel kann Verdacht erwecken und dabei Sicherheitslücken aufdecken.

Artikel veröffentlicht am ,
Die Kernel-Entwicklung kann auch ungewollt viele Details preisgeben.
Die Kernel-Entwicklung kann auch ungewollt viele Details preisgeben. (Bild: dfaulder/Flickr.com/CC-BY 2.0)

Ein Forscherteam aus Entwicklern und Wissenschaftlern zeigt in einer aktuellen Untersuchung, wie aus der konkreten Diskussion um Patches im Linux-Kernel - beziehungsweise eben die fehlende Diskussion darum - Rückschlüsse darauf gezogen werden können, dass diese Patches Sicherheitslücken schließen. Damit könnten Sicherheitslücken unter Umständen zu einem Zeitpunkt öffentlich werden, der vor der eigentlichen offiziellen Ankündigung liegt oder die Lücken schlicht überhaupt erst also solche erkannt werden.

Stellenmarkt
  1. Landratsamt Breisgau-Hochschwarzwald, Freiburg
  2. über duerenhoff GmbH, Raum Kirn

Die Untersuchung stammt von Forschern der OTH Regensburg, der Uni Hannover sowie von BMW und Siemens. Dabei stellen die Beteiligten ein Data-Mining-Projekt vor, das auf den Annahmen zur sonst üblichen Kernel-Entwicklung aufbaut. Die hierbei wohl wichtigste Erkenntnis ist es, dass Patches zum Kernel wie zu anderen Open-Source-Projekten üblicherweise auch vorher öffentlich diskutiert werden.

Das Team verknüpft in seiner Untersuchung nun also eben die Diskussionen auf den öffentlichen Mailinglisten mit den Code-Beiträgen zum Linux-Kernel und untersucht jene Beiträge genauer, die keine solche Diskussion aufweisen. Oft handelt es sich dabei um Beiträge von internen Teams oder Betreuern zu Code, den nur sie selbst pflegen. Oder aber um Beiträge, die Sicherheitslücken beheben. In der Untersuchung heißt es dazu: "Die Tatsache, dass ein Patch nicht öffentlich diskutiert wurde, verrät diesen".

Vor allem die komplizierte Struktur des Linux-Ökosystems mit seinen vielen verschiedenen Distributionen und Ableitungen führt oft dazu, dass zwischen der Bereitstellung des Patches samt Veröffentlichung der Sicherheitslücken und der tatsächlichen Integration in einen dieser abgeleiteten Kernel vergleichsweise viel Zeit vergehen kann. Die nun vorgestellte Methode ermöglicht es nun auch, jene Sicherheitslücken zu finden, die zum Beispiel keine besonders große Medienaufmerksamkeit bekommen haben oder für die gar keine CVE-Nummer vergeben wurde.

Golem Akademie
  1. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Dass der Linux-Kernel mit seinen vielen Patches systematisch für Angriffe analysiert wird, hat ein Bug im vergangenen Jahr gezeigt. Google hatte diesen zwar bereits gefunden und auch behoben, jedoch vergessen, den Patch an seine Android-Geräte zu verteilen. Die eigentlich geschlossene Lücke ist aufgefallen und wurde schließlich ausgenutzt. Die Forscher zeigen nun, dass derartige Vorgänge auch von Angreifer mit weiteren Methoden verfeinert werden können, um im Zweifel Exploit-Code zu schreiben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

gadthrawn 08. Sep 2020

Torvalds Prinzip war doch lange: Sieht es der Benutzer nicht - ist es nicht kritisch...


Folgen Sie uns
       


Mini-PCs von Asus, Apple und Zotac im Test - Fazit

Wir haben uns den Mac Mini und zwei Alternativen von Asus und Zotac angesehen. Es ist interessant, wie leistungsfähig die Kontrahenten sind.

Mini-PCs von Asus, Apple und Zotac im Test - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /