Abo
  • IT-Karriere:

Linux: Weiterer Patch für Dirty-Cow-Sicherheitslücke

Das Kernel-Team patcht erneut gegen Dirty Cow - allerdings in einer weniger schlimmen Variante. Angreifer können das verwundbare Linux-System gezielt zum Absturz bringen.

Artikel veröffentlicht am ,
Dreckige Kühe
Dreckige Kühe (Bild: Juni Kriswanto/AfP/Getty Images)

Die Linux-Kernelentwickler haben eine zweite Variante der Dirty-Cow-Sicherheitslücke behoben. Die IT-Sicherheitsfirma Bindecy hatte zuvor einen Proof-of-Concept veröffentlicht, der einen Schreibzugriff auf eigentlich gesperrte Bereiche des Arbeitsspeichers ermöglicht. Betroffen sind alle Linux-Systeme mit den Kernel-Versionen 2.6.38 bis 4.14 mit Ausnahme von Android-Geräten.

Stellenmarkt
  1. BSI Systeme GmbH, Mönchengladbach
  2. Formel D GmbH, München

Die neue Sicherheitslücke mit der CVE-Nummer 2017-1000405 soll durch den ursprünglichen Patch in den Kernel gekommen sein. Die Entwickler haben die Lücke Huge Dirty Cow getauft, weil diese auf die Manipulation der Transparent Huge Pages (THP) setzt. Huge Transparent Pages sollen die Verwaltung großer Speichermengen vereinfachen und Administratoren und Entwicklern dabei Arbeit abnehmen.

Android ist nicht betroffen

Android soll von der Lücke nicht betroffen sein. Dem zu Kaspersky gehörenden Sicherheitsblog Threatpost sagte Daniel Shapiro von Bindecy: "Der aktuelle Bug tritt weder bei Android auf noch bei Redhat Enterprise Linux (RHEL). Alle anderen Versionen - Ubuntu, Fedora, Suse - sind betroffen." Die Auswirkungen seien somit groß, auch wenn der Angriff weniger schlimm sei als die erste Dirty-Cow-Lücke. Akute Angriffe seien bislang nicht bekannt.

Der aktuelle Angriff ermöglicht anders als die ursprüngliche Sicherheitslücke keinen Schreibzugriff, um bereits im Speicher vorhandene Elemente zu mappen und damit weitere Angriffe zu starten. Es ist aber möglich, einen Prozess gezielt zum Absturz zu bringen.

Bei der eigentlichen Sicherheitslücke war es möglich, die Copy-on-Write-Funktion zu missbrauchen, um eine im Speicher gemappte Datei zu verändern.



Anzeige
Hardware-Angebote
  1. 339,00€ (Bestpreis!)

chefin 06. Dez 2017

ist doch logisch Chicken Süß-Sauer mit Ananas geschält, dazu eine Schale Reis.


Folgen Sie uns
       


Fairphone 3 - Fazit

Behebt das Fairphone 3 die Mängel der Vorgänger? Wir haben es getestet.

Fairphone 3 - Fazit Video aufrufen
Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger

  1. Klimaschutzpaket Bundesregierung will SUV-Steuer und eine Million Ladepunkte
  2. Fridays for Future Klimastreiks online und offline

Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

    •  /