Sicherheitslücken im Linux-Kernel

Linux Der Distributor Ubuntu beschreibt in einem Advisory eine Sicherheitslücke in seinen Distributionen Ubuntu 4.10 und 5.04, mittels der ein angemeldeter Benutzer Root-Rechte bekommen kann. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
das ist (leider) einer der vorteile gegenüber Windows, die patches kommen sofort und nicht erst am Patchday. Entwickelt nicht Linus Torvald den Kernel?
 
@LudoDJ: er entwickelt auch am Kernel, er ist aber bei weitem nicht der einzige. Da gibts einige, die am Kernel mitentwickeln, auch hauptberuflich Angestellte. Zu denen müsste Linus Torwalds aber gehören.
 
@LudoDJ: Nein, nicht Linus Torvalds entwickelt den Kernel, sondern ein Team von OSDL-Mitarbeitern, dessen gleichberechtigtes Mitglied Linus Torvalds ist. Er hat nur das letzte Wort, wenn sich das Team nicht einigen kann, ansonsten ist die Arbeit aufgeteilt. @FutureCrasher: Linus Torvalds ist genau wie die anderen bei den OSDL angestellt: http://www.osdl.org/about_osdl - Die Namen sind ja recht bekannt, Andrew Morton sollte jedem ein Begriff sein usw.
 
@euch beide: thx für info ^_^
 
@LudoDJ: du bist (leider) nicht auf dem Stand der Dinge. Es eher so, dass bei Linux die Lücken erst dann bekannt gegeben werden, wenn ein Patch vervägbar ist. :-) Bei Windows dagegen, wird die kleinste Lücke sofort die Welt hinausgeblasen. Weitere Ausflüchte, erspar ich mir an dieser Stelle.....
 
@LudoDJ: meist sind die Patches sogar schon Stunden nach bekanntwerden der Lücken verfügbar. Für den User ist es nur schwer nachvollziehbar welches der "beste , sicherste Patch" ist, da solche Patches auch von unterschiedlichen Authoren kommen können. @niecheck: leider muss ich sagen, Du hast keine Ahnung. WEil der Quellcode verfügbar ist und öffentlich zugänglich ist, sind auch alle Fehler von Anfang an öffentlich zugänglich. Transparenter kann es wohl kaum sein !!! Wo bitte kann ich mir den Quellcode vom NT-Kernel runterladen und auf Lücken prüfen und kann diese dann öffentlich posten??? ... bitte befass Dich mit einem Thema bevor Du so eine falsche Behauptung in den Raum stellst !
 
@klausing: Klar ist der Quellcode offen verfügbar, aber zwischen offenem Quellcode und einer Lücke darin auch tatsächlich entdecken besteht ein grosser Unterschied. Darum ist niecheck's Aussage trotzdem nicht falsch.
 
@klausing: Was wirst denn so poroes? Nur weil jeder den Quellcode einsehen kann, heisst das noch lange nicht, dass man jede Lücke findet (wenn dem so wäre, hätte man schon lange ein lückenloses System schaffen können - klingt einleuchtend, oder?). @installer: Warum sollte mir Andrew Morton ein Begriff sein? Nie gehört, ganz ehrlich - wüsst auch net, warum ich mir den merken sollte :)...
 
@Lofote: Natürlich "muss" nicht jeder Morton kennen, aber es ist eben der erste Name, der mir als Beispiel eingefallen ist und bekannt sein "sollte", zumindest wenn man sich ein wenig für Linux interessiert, aber letzteres setze ich einfach voraus, sonst hätte man diese Meldung hier ja nicht angeklickt. :) Morton pflegt die mm-Reihe, die parallel zu den regulären Releases läuft und Zusatzfeatures enthält, die noch nicht reif für die allgemeine Benutzung sind (z.B. das Reiser4-Dateisystem usw.).
 
@LudoDJ: Ich wusste es schon wieder eine lücke in Windows ! Oh , eine lücke in Linux ? Nein sowas gibts . Die muss aber einer kurtz vor dem Patch da rein gemacht haben !!
 
es wird ja garnicht so geflamt wie bei Windows :D
 
@unbound.gene: Liegt vermutlich daran das die Patchs doch relativ schnell erschienen sind :)
 
@unbound.gene: Da gibt es Abhilfe, die Metadiskussions-Experten sind seit 14:48 zur Stelle. :)
 
@deen: Wer weiss wie lange es wirklich her ist das die Lücke entdeckt wurde? Bei OpenSource-Projekten ist es meistens üblich dicht zu halten bis ein Patch verfügbar ist. Man kann halt mit einer in einem OpenSource-Projekt entdeckten Sicherheitslücke auch weniger Publicity machen als bei entdeckten Sicherheitslücken in Produkten von bekannten grossen kommerziellen Herstellern.
 
@unbound.gene: Da würd Ich mal drüber Nachdenken, warum Linux-User bei Windows immer flamen, und nicht umgekehrt. :-P
 
@swissboy: Das ist nicht bei OpenSource üblich, sondern es ist allgemein üblich, Stichwort vorgeplanter Patch-Day, und das ist auch gut so. (Über das Thema habe ich übrigens auch schon mit OpenSource-Fans, zu denen Du ja tendenziell eher nicht gehörst, diskutiert und die hatten auch immer was auszusetzen. Man kann es einfach nicht jedem recht machen.)
 
@species: Vielleicht weil sie neidisch auf die Marktanteile von Windows sind? :-)  @installer: Das dies allgemein üblich ist wage ich zu bezweifeln.
 
@swissboy: Sorry, wie nennst Du es denn sonst, wenn man am Patch-Day die Updates manuell herunterlädt und mit WinRAR entpackt und dann feststellt, dass die darin enthaltenen Dateien zum Teil manchmal vier oder sechs Wochen alt sind? Natürlich ist das allgemein üblich, ich finde es auch gut so. Beispiel: Heute haben Adobe und Autodesk "zufällig" am selben Tag einen Patch für dasselbe Problem bereitgestellt, das mit der Aktivierungssoftware von Macrovision zusammenhängt. Warum ist es kein Zufall? Weil die Beteiligten natürlich zusammenarbeiten und erst dann an die Öffentlichkeit gehen, wenn es eine Lösung gibt. Das ist das normalste der Welt, Patches müssen erst auf ihre Funktionsfähigkeit und eventuelle neu eingeführte Bugs getestet werden, vorher ist es nicht sinnvoll, damit an die Öffentlichkeit zu gehen. Davon abgesehen finde ich diese ständig gleichbleibenden Metadiskussionen irgendwann auch mal langweilig.
 
@installer: Es gibt leider immer wieder Fälle wo aus Profilierungssucht oder Publicitygeilheit entdeckte Sicherheitslücken sofort "herausposaunt" werden. Aber lassen wird dieses Thema, eine Diskussion darüber führt schlussendlich zu nichts. Peace!
 
Jungs was redet ihr wieder so nen Unsinn von wegen bei Linux werden üblicherweise Sicherheitslücken totgeschwiegen, bis sie nen Patch haben???? Ihr Plauderer könnt noch nicht mal ein billiges Hello World in C und stellt euch hier als die Linuxinsider dar. Es wird echt immer lustiger. Der Grund warum in dem Fall bekanntwerden und Patch auf den gleichen Tag fiel ist wohl offensichtlich, einer der Kernelentwickler (Wright) hat den Fehler entdeckt und hat dafür gleich nen Patch geschrieben, also soll er evtl nächstes mal bei jedem Synatxfehler in seinen Code ne Newsmeldung rausgeben.
 
@[U]nixchecker: cout >> "kein grund andere deswegen zu beleidigen". Es ist durchaus nicht unüblich Sicherheitslücken totzuschweigen, das machen beide Seiten. Nur die einen als eingeschworene Community haben eben größere Chancen. Gerade, dass exploits frühzeitig herausgegeben wird von manchen Personen und auf Grund der Vielzahl relativ einfacher Programmierumgebungen für Windows das erstellen von Anwendungen, die diese ausnutzen auch kein Problem ist, ist meiner Meinung nach das Hauptproblem von Windows schlechthin. Da hilft aber kein M$, da kann nur der einzelne verantwortungsvoller handeln.
 
löl - Linux - wie war das - es ist ja soooo toll :) *hust*
 
@Voll_die_Seuche: Bitte unterlass solche Kommentare in Zukunft, zumindest die (Aktiv-) Windows-Nutzer könnten einfach darauf verzichten zurückzuflamen. Kein System ist perfekt, aber wir haben es nicht nötig andere Systeme unnötig schlecht zu machen ...
 
@Voll_die_Seuche: Du wirst deinem Nickname voll gerecht. :-)
 
@swissboy: Danke, deine themenbezogenen, sachlichen Beiträge fördern jegliche Diskussion!
 
@tuxman2 : genau , schau in den spiegel, oder einfach auf beitrag [o5] bevor du dich über swissboy hermachst.
 
Tja, bei mir ist's 'ne AUSNAHME...
 
hahahaahaha linux hat bugs windows ist vieeeeeeeeeeel besser!!!!!11111eins roflmao :)
 
schon mal darüber nachgedacht, dass du unter windows immer mit admin-rechten arbeitest?
 
@krusty: Niemand MUSS unter Windows mit Administrator-Rechten arbeiten, die meisten tun dies aber aus reiner Bequemlichkeit. Somit ist dein Kommentar ist eine reine Unterstellung. Unter Longhorn wir sich das aber sowieso änderen, dann werden Adminstrator-Rechte nicht mehr die Standardvorgabe sein.  PS: Ich glaube tuxman2's Kommentar war nicht wirklich ernst gemeint, sondern eine Reaktion auf Kommentar [o4]. :-)
 
@swissboy: wenn du mal ernsthast versucht hast in windows nur mit user-rechten zu arbeiten würdest du das so was nicht schreiben. überall stößt man auf hindernisse, die reinste qual... . das ist absolut nicht alltagstauglich wie bei ubuntu mit sudo oder bei macosx.
 
@krusty: Das dies möglich ist zeigen unzählige gut funtionierende Installationen in Firmen. Deine Aussage "... dass du unter Windows immer mit Admin-Rechten arbeitest" war somit schlicht falsch.
 
"Ich glaube tuxman2's Kommentar war nicht wirklich ernst gemeint, sondern eine Reaktion auf Kommentar [o4]. :-)" nein, aber es war in der tat zynisch gemeint.
 
@swissboy: ich meinte z.b. dein oder mein heim-rechner, auf dem täglich software installiert wird, gespielt wird, neue treiber installiert werden... usw. für reines internet surfen oder briefe schreiben im word funktioniert der modus mit den "eingeschränkten rechten" auch. tuxman2 du zyniker! :D
 
@krusty: Auch da ist es möglich, es wird nur aus reiner Faulheit von den meisten Anwendern nicht gemacht.
 
@krusty: zählt mein heimrechner auch? schonmal was von schnellem benutzerwechsel und runas gehört? ich wüsste nciht wofür ich dauerhaft admin-rechte zum arbeiten brauchen sollte...
 
@swissboy: Selbst Userrechte sind bei Windows Schrott. Einmal im abgesicherten Modus und schon hat man wieder alle Rechte. Mach das mal bei Linux:-)
 
@Kirschsaft: Es geht hier um die Angreifbarkeit bei Administrator-Rechten. Ich habe noch von keinem Virus gehört der Windows mal schnell eben im abgesicherten Modus bootet um sich Administrator-Rechte geben zu lassen.
 
@Kirschsaft: Die Benutzerrechte sind bei Windows von oben bis unten durchdacht, denk mal an ADS! Mit nur einer Anmeldung an einer Domäne kannst du auch über Rechnergrenzen hinweg auf Ressourcen zugreifen für die du berechtigt bist. Totaler Quatsch die Aussage mit dem abgesicherten Modus... wie kommst du nur da drauf?
 
@Kirschsaft: Wenn Du es schaffst mein Windows im abgesicherten Modus so zu starten, dass Du Adminrechte bekommst, dann kriegst nen Keks von mir!
 
@TPW1.5: Das Adminpasswort zu knacken ist nicht das Problem bei Windows XP. Wer das schon mal bei NT, 2000 getan hat, kann das auch bei Windows xp. Von einer speziellen Diskette booten, registry reinladen, den Rest verrate ich nicht. P.s .Die passenden Tools stellt Linux zur Verfügung :-)
 
@Kirschsaft: Dafür gibt es auch Tools unter Windows, dazu braucht man nicht noch Linux. Trotzdem, ein Virus oder Trojaner ist nicht imstande dies zu tun.
 
@swissboy: Ach ja?
 
@Kirschsaft: Viel erfolg beim reinladen einer Registrierungsdatenbank auf ein NTFS-Laufwerk mit aktivierter Verschlüsselung, wie gesagt, wenn Du es schaffst, kriegst nen Keks, du kannst vielleicht mein Windows zerschießen, aber das war's dann auch schon ...
 
Ich persönlich finde ein BeOS viel besser. Es unterstützt zwar fast keine aktuelle Hardware, aber es rockt voll auf einem alten Pentium Pro mit 200 MHZ. Solche OS sollten mehr gefördert werden, und dafür weniger Linux und Windows. Leider geht Yelowdog hier den falschen weg mit Zeta.

Ich bin mit keinem Windows oder Linux bis jetzt so richtig zufrieden gewessen !!

lg
 
@Thaman: Dieses Posting kann unmöglich ernst gemeint sein. Weißt Du überhaupt, warum BeOS so schnell ist? Weil es auf dem Stand von vor fünf Jahren ist. Es hat kein einziges Sicherheitsfeature, jeder Benutzer ist immer Administrator und das System ist deshalb so schlank, weil es kaum Treiber gibt. Moderne Systeme haben einen gewissen Overhead, der aber im Jahr 2005 einfach sein muss, man kann nicht immer zurückgehen und sagen "Was? Sicherheit? Wozu? Ohne Sicherheit ist es schneller". Dann muss eben neue Hardware her. PS: Yellowdog ist eine Linux-Distribution für die PPC-Architektur, Du meinst sicherlich Yellowtab.
 
@Thaman: Wenn wir schon dabei sind: mein OS/2 und mein NT4 sind auch viel schneller als dieses dumme XP: Rest siehe re:1 von installer: ironie-tags bitte selber setzen
 
Liebe Linux user das nächste mal müsst ihr jetzt keine Windows sicherheitsupdates themen zuflammen :P finde es gegenseitig e daneben soll doch jeder sein System mit dem OS betreiben das er will egal ob es sicherheitsbugs hat oder nicht!
 
Wie gut, daß bei mir ptrace_*() leer ist.
 
Tja, die größte Sicherheitslücke in Linux wurde schon seit Jahren nicht gepached... die Beschränkung auf 8 Zeichen pro Kennwort :) oder doch?
 
@bloodygod: Auch bei Linux gilt, genauso wie bei Windows: die größte Sicherheitslücke kann man nicht patchen, die sitzt nämlich 60cm vor dem Bildschirm.
 
Also ich mag Linux doch etwas mehr wie Windows.. Warum? Ganz einfach hier ist vieles transparenter und auch die vielen verschiedenen Wege wie man sich dem Thema annähert sprechen imho für sich. Bei Windows hat man nur die Möglichkeit Win98, Win2000, Windows XP .. zu verwenden, es fehlt hier die Vielfalt. Vielfalt in der Möglichkeit seine Gui selbst zu wählen (nein ich meine nicht Windows blinds oder so Zeugs) sondern komplette Architekturen wie KDE/Gnome/XFCE ... Man kann das System bis in den letzten Winkel konfigurieren und kann vor allem saubere Umgebungen bereitstellen (jeder der schon mal Oracle unter Windows betrieben hat kann ein Lied davon singen). Die Patchzyklen sind imho sehr viel schneller .. nicht wie bei M$ wo es etliche Lücken gibt die es sogar von NT bis in XP geschafft haben .. Wenn man dann auf die Geschichte hinweist das jeder per Default nach einer XP Install unterwegs ist, heißt es man kann das konfigurieren .. erzählt das mal einem "DAU" der z.b. seinen ersten Computer kauft .. dem Hobby Computer Fan wenn er wg. seinem Scanner sich plötzlich als admin anmelden muß .. Man kann die Zugrifssrechte setzen, stimmt .. aber häufig sind sogar sogenannte Spezis damit überfordert .. Wenn ich dann höre man kann alles gezielt über ADS konfigurieren .. wer von uns betreibt zuhause ein ADS??? Wenn man die Argumente pro-Windows aufzählen soll sind dies imho nur 2: bessere Spieleunterstützung und bessere Hardwareunterstützung .. Ich für meinen Teil denke das 100%ig sichere Betriebssystem gibt es nicht, aber man kann sehr viel durch ein gutes Konzept (denn da fängt das Betriebssystem an) und eine gute Umsetzung abgefangen werden. Bei dem Konzept ist Linux derzeit (imho) Windows noch voraus.
 
@balu2004:
ich betreibe zuhause ein Active Directory (:
 
Eines sieht man hier wieder zu deutlich... wie dumm sich manche anstellen können wenn es um die Bewertung von Fehlern geht. Blick auf Secunia... Windows XP Pro - 94 Advisories - 35% hoch kritisch / 28% moderat - 59% von R E M O T E ausnutzbar - 26% UNGEPATCHT || Linux 2.2 - 2.6 (um auf die 'selbe' Anzahl an Advisories zu kommen) - 99 Advisories - 0% kritisch / 13% - 17% moderat - 13% - 17% von Remote ausnutzbar - 17% - 28% ungepatcht. Nur zu deutlich erkennt man dass das Sicherheitskonzept bei MS was XP angeht noch immer deutlich hinter dem von Linux steht obwohl man mehr 'Reife' und Resourcen hat.
 
@Chuck: Allein die Kenntnis von Sicherheitslücken sagt nichts über das tatsächlich Vorhandensein von Sicherheitslücken aus. Ich vermute, dass mehr Leute mehr (zum Teil auch kriminelle) Energie in das Auffinden von Lücken in Windows stecken als in Linux (vgl. Marktanteil): //EDIT: Btw.: wenn man mal nativen code für linux (der also die clib nicht nutzt) entwickelt merkt man erst wieviele bugs der kernel noch hat, und jeder bug ist eine potentielle sicherheitslücke...
 
@TPW1.5: 'Allein die Kenntnis von Sicherheitslücken sagt nichts über das tatsächlich Vorhandensein von Sicherheitslücken aus' Ok, dann steht das Sicherheitskonzept einen absolut Quelloffenen Produktes einem verschlossenem Produkt gegenüber. Damit wird der Vorteil von Linux noch deutlicher. Man darf nicht vergessen das a) der Linux Kernel um ein vielfaches mehr Potential hat als der NT Kernel, mehr Funktionen und dennoch 'sicherer' ist und b) das Linux zu den Plattformen im Server Bereich der gehobenen Klassen gehört und definitiv mit das lukrativste Angriffsziel ist.
 
@Chuck: um nicht eine sinn und endlose diskussion zu starten möchte ich nur schnell noch auf b) eingehen. Soweit ich weiß wird in gehoberen Klassen bei Servern eher nicht Linux sondern UNIX eingesetzt, und soweit ich weiß sind viele Teile von UNIX closed source, auch wenn sich zum Beispile Sun stetig in Richtung Opensource bewegt.
 
@TPW1.5: Unix wurde eingesetzt und wird von BSD und Linux Systemen ersetzt. Linux Systeme alleine wachsen seit sehr vielen Quartalen im zweistelligen Bereich. Besonders bei Cluster Lösungen. Wo Linux noch nicht Fuss fassen konnte sind die Mainframes obwohl es auch dort Linux Lösungen gibt. Die letzten Entwicklungen von Unix sind komplett und frei in BSD übergegangen. Es gibt freie und komerzielle BSDs. Manche Entwickler wie angesprochen SUN haben auf alten Entwicklungen eigenes entwicklet und verlangen dafür Geld.
 
@Chuck: bitte unterscheide bei deinen Kommentaren zwischen Unix und UNIX (vgl. http://de.wikipedia.org/wiki/UNIX ). Wenn ich nun die Anzahl der UNIX-Server mit der Anzahl der Linux-Server allein an meiner Uni vergleiche (selbst ohne berücksichtung der Rechenleistung, die das Verhältnis nocheinmal weit verschieben würde), dann kann ich dir so leider einfach nicht rechtgeben... Und gerade bei größeren Servern hat auch in großen Betrieben SUN immernoch die Oberhand gegenüber Linux.
 
@Chuck: Interessant wird es wenn die "NEWS" der neuen , von M$ in auftrag gegebenen Studiie auf der Hauptseite erscheint .. In dieser Studie wird mal wieder belegt das die Kosten fürs Patchen bei Windows niedriger sind :)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles