Original-URL des Artikels: https://www.golem.de/0908/69059.html    Veröffentlicht: 14.08.2009 10:24    Kurz-URL: https://glm.io/69059

Sicherheitslücke steckt im Linux-Kernel 2.4 und 2.6

Angeblich alle Versionen seit 2001 betroffen

Sicherheitsforscher haben eine Sicherheitslücke im Linux-Kernel gefunden, die in allen Versionen des Kernels 2.4 und 2.6 seit 2001 stecken soll. Angreifer sollen so Code mit Rechten des Kernels ausführen können.

Tavis Ormandy und Julien Tinnes vom Google-Security-Team haben die Sicherheitslücke entdeckt und beschreiben sie in ihrem Blog. Betroffen sein sollen alle 2.4er und 2.6er Kernel seit 2001 auf allen Architekturen. Das bedeutet, die Sicherheitslücke taucht in den Versionen 2.4.4 bis einschließlich 2.4.37.4 sowie in den Versionen 2.6.0 bis einschließlich 2.6.30.4 auf.

Das Problem soll in der Art liegen, wie Linux mit nicht verfügbaren Operationen für einige Protokolle umgeht. So prüft zum Beispiel sock_sendpage nicht auf NULL-Pointer, wodurch sich das Sicherheitsleck öffnet. Laut Julien Tinnes ist die eigentliche Sicherheitslücke damit genauso trivial, wie sie sich ausnutzen lässt. Angreifer sollen so Programmcode mit den Rechten des Linux-Kernels ausführen können. Einen Exploit hat Travis Ormandy bereits veröffentlicht.

Linus Torvalds hat bereits einen Patch aufgenommen, der das Problem beseitigt. Künftige Kernel-Versionen sollten damit nicht mehr betroffen sein. Die Distributoren sollten nach einer Überprüfung entsprechende Updates für ihre verwendeten Kernel-Versionen veröffentlichen.  (js)


Verwandte Artikel:
Fuzzing: Google zerlegt USB-Stack des Linux-Kernels   
(08.11.2017, https://glm.io/131033 )
Broadcom-Sicherheitslücken: Samsung schützt Nutzer nicht vor WLAN-Angriffen   
(27.04.2017, https://glm.io/127540 )
Linux-Root-Exploit umgeht Sicherheitserweiterungen   
(17.07.2009, https://glm.io/68453 )
Root-Exploit für den Linux-Kernel 2.6   
(11.02.2008, https://glm.io/57620 )
Linux-Kernel 2.6.19.2 korrigiert Speicherfehler   
(11.01.2007, https://glm.io/49877 )

© 1997–2020 Golem.de, https://www.golem.de/