Sicherheitslücken

04.11.2009 16:34

Root-Rechte für jedermann: Lücke im Linux-Kernel

Sicherheitslücken Der Kernel des freien Betriebssystems Linux weist eine kritische Sicherheitslücke auf, die dazu führt, dass sich jeder Nutzer Root-Rechte verschaffen kann. Ein Patch für dieses Problem wurde bereits entwickelt.

Die Sicherheitslücke findet man in der Datei pipe.c, mit der Pipes, also Datenströme zwischen zwei Prozessen, initialisiert werden. Unter gewissen Umständen kann es bei der Nutzung der Funktionen pipe_read_open(), pipe_write_open() und pipe_rdwr_open() zu einer Wettlaufsituation kommen, wenn ein Mutex zu früh geschlossen wird. Vereinfacht dargestellt greifen zwei gleichzeitig laufende Prozesse auf den gleichen Datenbestand zu und verändern ihn.


Die Lücke lässt sich allerdings nur ausnutzen, wenn die Systemvariable mmap_min_addr auf 0 gesetzt ist. Standardmäßig ist das bei vielen Distributionen der Fall, beispielsweise Red Hat und Debian. Die Systemvariable legt die niedrigste virtuelle Adresse fest, auf die ein Prozess mappen darf.

Laut einem Bericht von 'heise Security' hat Red Hat bereits aktualisierte Pakete veröffentlicht, mit denen die Sicherheitslücke behoben wird. Debian erklärt, wie man die Systemvariable verändert. Bei der Entwicklung des Linux-Kernels wurde das Problem mit der aktuellen Version 2.6.32 beseitigt, allerdings steht davon bislang nur ein Release Candidate zur Verfügung.

Michael Diestelberg

Diese Nachricht empfehlen:
Diese Nachricht verlinken:
 
[o1] DARK-THREAT am 04.11.09 16:37 Uhr
(+15
Das ist natürlich schlecht für Linux. Aber da sieht man, kein OS ist perfekt, wie auch: wenn Menschen am Werk sind passieren Fehler.
 
[re:1] LuckY1710 am 04.11.09 16:38 Uhr
 
@DARK-THREAT: ach was^^
 
[re:2] Sesamstras... am 04.11.09 16:51 Uhr
(-5
@DARK-THREAT: Schlecht für die "anderen" wenn man sieht wie schnell hier reagiert wird.
 
[re:3] 1. Oktober am 04.11.09 16:59 Uhr
(-1
@Sesamstrassentier: Woher weisst Du, daß es die Lücke nicht schon länger gab? Sie wurde nur kürzlich entdeckt. Woher weißt Du, daß die Lücke nicht schon seit einer Weile ausgenutzt wird? Kannst Du auf alle Linux-Server dieser Welt schauen oder was? Wer weiß, was da schon alles an wertvollen Daten abgezweigt wurde durch diese Lücke.
 
[re:4] Sesamstras... am 04.11.09 17:04 Uhr
(-6
@1. Oktober: Wieso muss ich dir jetzt beweisen das die Lücke noch nicht ausgenutzt wurde? Beweis du doch erst mal das sie ausgenutzt wurde, :)


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Neueste Downloads

Mehr Downloads

Verwandte Videos

Beliebt im Preisvergleich

Sicherheit & Backup Preisvergleich

Neue Nachrichten

Mehr Nachrichten

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

Michael Diestelberg

Redakteur bei WinFuture

Ich empfehle ...
Michael Diestelberg

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Meist kommentierte Nachrichten

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

Artfiles.de

Forum

Zum WinFuture Forum

TechNet Online

Security-Tipps

Inforeihe 'Secure Code': Neues zu Kryptographie und Data Protection API 02.02.2012
Kölscher Abend zu rechtlicher und technischer Sicherheit in der Cloud 17.01.2012
Seit zehn Jahren im Dienst der Sicherheit: Microsofts Trustworthy Computing feiert Jubiläum 13.01.2012
Microsoft-Sicherheitsupdates im Januar 11.01.2012
Sicherheitsupdates Januar 2012 10.01.2012
MSDN Magazin im Dezember 04.01.2012
Out of Band-Sicherheitsbulletin für ASP.NET veröffentlicht 29.12.2011
Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET 29.12.2011
[Update] Windows 7 (64-Bit-Version) & Apple Safari: Details zur Schwachstelle 23.12.2011
Microsoft-Sicherheitsupdates im Dezember 14.12.2011
Sicherheitsupdates Dezember 2011 13.12.2011
Vorankündigung: Sicherheitsupdates Dezember 2011 08.12.2011
Mitmachen & mitgewinnen: der Windows Phone Adventskalender 01.12.2011
MSDN Magazin im November 01.12.2011
Cloud Computing: Vertrauensstellungsverwaltung in virtuellen Datencentern 01.12.2011
Schwerpunkt Dienstprogramme: Sicherer Zugriff, sichere Systeme 01.12.2011
Vortrag: "Rechtssicherheit mit der Cloud" 22.11.2011
Sicherheitsempfehlung: Zertifikaten von DigiCert Sdn. Bhd. wird nicht länger vertraut 10.11.2011
Microsoft-Sicherheitsupdates im November 09.11.2011
Sicherheitsupdates November 2011 08.11.2011
Copyright 2012 & powered by TechNet
Schöpfen Sie Ihr Potenzial aus. Mit TechNet.