Linux-Kernel: Fehlende Diskussionen können Sicherheitslücken preisgeben

Das Verhalten bei der Integration von Patches in den Linux-Kernel kann Verdacht erwecken und dabei Sicherheitslücken aufdecken.

Artikel veröffentlicht am ,
Die Kernel-Entwicklung kann auch ungewollt viele Details preisgeben.
Die Kernel-Entwicklung kann auch ungewollt viele Details preisgeben. (Bild: dfaulder/Flickr.com/CC-BY 2.0)

Ein Forscherteam aus Entwicklern und Wissenschaftlern zeigt in einer aktuellen Untersuchung, wie aus der konkreten Diskussion um Patches im Linux-Kernel - beziehungsweise eben die fehlende Diskussion darum - Rückschlüsse darauf gezogen werden können, dass diese Patches Sicherheitslücken schließen. Damit könnten Sicherheitslücken unter Umständen zu einem Zeitpunkt öffentlich werden, der vor der eigentlichen offiziellen Ankündigung liegt oder die Lücken schlicht überhaupt erst also solche erkannt werden.

Stellenmarkt
  1. IT-Security Manager Clientbetrieb (w/m/d)
    Dataport, verschiedene Standorte
  2. Entwickler (m/w/d) für den Bereich SAP Business Warehouse
    HEK - Hanseatische Krankenkasse, Hamburg
Detailsuche

Die Untersuchung stammt von Forschern der OTH Regensburg, der Uni Hannover sowie von BMW und Siemens. Dabei stellen die Beteiligten ein Data-Mining-Projekt vor, das auf den Annahmen zur sonst üblichen Kernel-Entwicklung aufbaut. Die hierbei wohl wichtigste Erkenntnis ist es, dass Patches zum Kernel wie zu anderen Open-Source-Projekten üblicherweise auch vorher öffentlich diskutiert werden.

Das Team verknüpft in seiner Untersuchung nun also eben die Diskussionen auf den öffentlichen Mailinglisten mit den Code-Beiträgen zum Linux-Kernel und untersucht jene Beiträge genauer, die keine solche Diskussion aufweisen. Oft handelt es sich dabei um Beiträge von internen Teams oder Betreuern zu Code, den nur sie selbst pflegen. Oder aber um Beiträge, die Sicherheitslücken beheben. In der Untersuchung heißt es dazu: "Die Tatsache, dass ein Patch nicht öffentlich diskutiert wurde, verrät diesen".

Vor allem die komplizierte Struktur des Linux-Ökosystems mit seinen vielen verschiedenen Distributionen und Ableitungen führt oft dazu, dass zwischen der Bereitstellung des Patches samt Veröffentlichung der Sicherheitslücken und der tatsächlichen Integration in einen dieser abgeleiteten Kernel vergleichsweise viel Zeit vergehen kann. Die nun vorgestellte Methode ermöglicht es nun auch, jene Sicherheitslücken zu finden, die zum Beispiel keine besonders große Medienaufmerksamkeit bekommen haben oder für die gar keine CVE-Nummer vergeben wurde.

Golem Karrierewelt
  1. IT-Sicherheit: (Anti-)Hacking für Administratoren und Systembetreuer: virtueller Drei-Tage-Workshop
    28.-30.06.2023, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    06./07.02.2023, virtuell
Weitere IT-Trainings

Dass der Linux-Kernel mit seinen vielen Patches systematisch für Angriffe analysiert wird, hat ein Bug im vergangenen Jahr gezeigt. Google hatte diesen zwar bereits gefunden und auch behoben, jedoch vergessen, den Patch an seine Android-Geräte zu verteilen. Die eigentlich geschlossene Lücke ist aufgefallen und wurde schließlich ausgenutzt. Die Forscher zeigen nun, dass derartige Vorgänge auch von Angreifer mit weiteren Methoden verfeinert werden können, um im Zweifel Exploit-Code zu schreiben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
El-Ali-Meteorit
Forscher entdecken zwei neue Minerale in einem Meteoriten

In einer Probe aus einem in Somalia niedergegangenen Meteoriten wurden zwei Mineralien entdeckt, die auf der Erde so bisher nicht gefunden wurden.

El-Ali-Meteorit: Forscher entdecken zwei neue Minerale in einem Meteoriten
Artikel
  1. Kraftfahrt-Bundesamt: Elektrischer Corsa sollte zur Abgasuntersuchung
    Kraftfahrt-Bundesamt
    Elektrischer Corsa sollte zur Abgasuntersuchung

    Das Kraftfahrt-Bundesamt ruft den Opel Corsa samt der Elektro-Variante zurück, weil ein Softwarefehler im Auto eine Messung verhindert.

  2. Recruiting: Personalauswahl mit KI kann Unternehmen schaden
    Recruiting
    Personalauswahl mit KI kann Unternehmen schaden

    Software ist objektiv und kennt keine Vorurteile, das macht Künstliche Intelligenz interessant für die Personalauswahl. Ist KI also besser als Personaler? Die Bewerber sind skeptisch und die Wissenschaft liefert keinen Beweis dafür.
    Ein Bericht von Peter Ilg

  3. Gerichtsurteil: MDR darf Facebook-Kommentare ohne Sendungsbezug löschen
    Gerichtsurteil
    MDR darf Facebook-Kommentare ohne Sendungsbezug löschen

    Öffentlich-rechtliche Sender begehen keine Zensur, wenn sie nicht strafbare Kommentare auf Facebook löschen. Manchmal sind sie eher dazu verpflichtet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /