Abo
  • IT-Karriere:

x86-64-Architektur: Fehler im Linux-Kernel kann für Abstürze ausgenutzt werden

Eine Reihe kleinerer Fehler im Linux-Kernel erlaubt Zugriff auf den Speicher oder eine Rechteausweitung. Speicherfehler oder ein Absturz können aber ebenso durch Angreifer hervorgerufen werden.

Artikel veröffentlicht am ,
Der Linux-Kernel hat Fehler in der Speicherverwaltung.
Der Linux-Kernel hat Fehler in der Speicherverwaltung. (Bild: Ben Tubby/CC-BY 2.0)

Der Programmierer Andy Lutomirski weist auf eine Reihe kleinerer Fehler im Linux-Kernel hin, die im Zusammenhang mit dem Befehl eines Interrupt Returns (IRET) der x86-Architektur stehen. Einer der Fehler (CVE-2014-9322) könnte als Erweiterung zu einem bereits vorher angekündigten Problem (CVE-2014-9090) bezeichnet werden.

Stellenmarkt
  1. Hochschule Furtwangen, Furtwangen
  2. S. Siedle & Söhne Telefon- und Telegrafenwerke OHG, Furtwangen im Schwarzwald

Lutomirski schreibt, dass jeder Nutzer, dessen Kernel keinen Patch für den zuletzt genannten Fehler eingespielt hat, auch für die nun gefundene Lücke anfällig sei. Durch einen inkorrekten Umgang mit einem Fehler in der Speicherverwaltung, die durch eine IRET-Anweisung verursacht worden ist, könnten Angreifer erweiterte Rechte erlangen.

Dieser Angriffsvektor wird zwar bei Systemen minimiert, die SMAP und UDEREF unterstützen. Doch dies führt dann immer noch zu "massiven Speicherfehlern" und eventuell sogar einem Absturz mit anschließendem Neustart.

Darüber hinaus habe IRET einen Design-Fehler, so Lutomirski: Wird die Anweisung auf ein 16 Bit großes Stacksegment aufgerufen, werden die nächsten 16 Bit des Kernel-Stack-Zeigers sichtbar. Dies wird durch die Espfix genannte Technik eigentlich verhindert. Doch Lutomirski hat eine Möglichkeit gefunden, Espfix zu umgehen (CVE-2014-8133). Ebenso hat diese Technik unter 32-Bit-Sytemen, die mit KVM virtualisiert worden sind, nicht funktioniert (CVE-2014-8134).

Patches für die gefundenen Lücken stehen bereit und sollten von den Distributionen demnächst bereit gestellt werden. Lutomirski bietet auch Tests an, um zu überprüfen, ob die eigenen Systeme anfällig für die Fehler sind. Das Ausführen des Test kann dann aber den beschriebenen Absturz verursachen.



Anzeige
Spiele-Angebote
  1. 24,99€
  2. 4,99€
  3. 21,99€
  4. 54,49€

steveb 19. Dez 2014

Keine Absturz bei Gentoo mit vanilla sources hermes linux-test-utils-linux-clock...

frostbitten king 18. Dez 2014

Ok, wow. Dachte Gentoo wär noch aktueller als Arch. So kann ma sich täuschen.

sg (Golem.de) 18. Dez 2014

Nicht nur komisch, sondern hier völlig fehl am Platz. Wir haben das geändert. Danke.


Folgen Sie uns
       


Samsungs Monitor The Space - Test

Der Space-Monitor von Samsung ist ungewöhnlich: Er wird mit einer Schraubzwinge an die Tischkante geklemmt. Das spart tatsächlich viel Platz. Mit 32 Zoll Diagonale und 4K-Auflösung ist auch genug Platz für die tägliche Arbeit vorhanden.

Samsungs Monitor The Space - Test Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. Arbeit Hilfe für frustrierte ITler
  2. IT-Arbeitsmarkt Jobgarantie gibt es nie
  3. IT-Fachkräftemangel Freie sind gefragt

    •  /