Root-Rechte für jedermann: Lücke im Linux-Kernel

Sicherheitslücken Der Kernel des freien Betriebssystems Linux weist eine kritische Sicherheitslücke auf, die dazu führt, dass sich jeder Nutzer Root-Rechte verschaffen kann. Ein Patch für dieses Problem wurde bereits entwickelt. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Das ist natürlich schlecht für Linux. Aber da sieht man, kein OS ist perfekt, wie auch: wenn Menschen am Werk sind passieren Fehler.
 
@DARK-THREAT: ach was^^
 
@DARK-THREAT: Schlecht für die "anderen" wenn man sieht wie schnell hier reagiert wird.
 
@Sesamstrassentier: Woher weisst Du, daß es die Lücke nicht schon länger gab? Sie wurde nur kürzlich entdeckt. Woher weißt Du, daß die Lücke nicht schon seit einer Weile ausgenutzt wird? Kannst Du auf alle Linux-Server dieser Welt schauen oder was? Wer weiß, was da schon alles an wertvollen Daten abgezweigt wurde durch diese Lücke.
 
@1. Oktober: Wieso muss ich dir jetzt beweisen das die Lücke noch nicht ausgenutzt wurde? Beweis du doch erst mal das sie ausgenutzt wurde, :)
 
@Sesamstrassentier: Du glaubst also, nur weil es heute bei heise stand (und hier) ist das Leck brandneu und alle Hacker dieser Welt ärgern sich, weil sie es nicht früher wussten?
 
@Sesamstrassentier: ach man, jetzt geht das wieder los. Wenn es diese Lücke ist "http://winfuture.de/news,49037.html" besteht sie seit 2001. Wenn es nicht die gleiche Lücke ist, ist es die zweite in Folge. OpenSSH hatte da aucu mal ein Problem, welches 2 Jahre nicht erkannt wurde."http://www.kubieziel.de/blog/archives/939-Tor-und-die-OpenSSL-Luecke-bei-Debian.html"
Nur eines ist sicher, nicht ins Netz gehen...
 
@Ratman: Es ist eine andere Lücke.
 
@Ratman: wenn man keine ahnung hat...
 
@willi_winzig: dann erkläre es mir
 
@Sesamstrassentier: ___!!!____ LINUX: Fehler wird übersehen, andere weisen auf Fehler hin, Fehler wird geflissentlich ignoriert, Kritiker werden beleidigt und Fehler werden verheimlicht . (Quelle: tinyurl.com/5l8439 _und_ tinyurl.com/c8g5ua _und_ tinyurl.com/yf6zv58) !!!
 
@Homer_Simpson: Dummes Zeug, mehr nicht.
 
@Sesamstrassentier: "Dummes Zeug, mehr nicht." - Besätigt das nicht auch schon wieder diesen Punkt: "Kritiker werden beleidigt"? Ich sgae doch, ich habe mit meinen genannten Punkten nur Recht!
 
@Homer_Simpson: er beleidigt Dich ja nicht, er hat einfach nur recht.
 
@johannes66: Warum bringt ihr keine Gegenargumente? Ich kann meine Punkte mit Quellen beweisen.
 
@Homer_Simpson: was willst du denn jetzt für Gegenargumente hören? guck einfach auf die Mailinglisten von OpenSource-Projekten. Da siehst du, dass es in den allermeisten Fällen funktioniert. Niemand ist perfekt, aber bei OpenSource Software hast du die Möglichkeit, Fehler selbst zu beheben. Grade bei dem im Betrag genanntem Bug ist dies im laufenden Betrieb möglich, ganz ohne Neustart. Diese ganze News wird überbewertet und das ist es auch, was Torvalds in deiner ersten Quelle ankreidet. Wie du an diesem Beispiel sehen kannst, klappt das Fixen von Sicherheitslücken aber um einiges Besser als bei manch anderem Betriebsystemanbieter. Nach zwei Wochen ist die Lücke bei den meisten Distributoren beseitigt und es gibt "fix it on thy fly". Erinnere dich mal an die SMB2-Lücke. Die war jahrelang beim Hersteller bekannt....
 
@Homer_Simpson: Du solltest dich mal informieren was ein Beweis ist. Du machst dich lächerlich.
 
Gefahr erkannt, Gefahr gebannt.
 
irgendwie beruhigend, das nicht nur studenten hin und wieder ihre probleme mit race conditions haben, sondern solche fehler auch erfahrenen hardcore programmieren passieren.
 
@LoD14: Deswegen werden ja schon die Studis auf solche Probleme getrimmt.
 
Wenigstens wird nichts verschönt, sondern gleich gehandelt. Da können sich die Bezahl-OS mal ne Scheibe abschneiden. Statt dessen wird Verharmlost, oder gar die Sicherheit herabgesetzt. Unglaublich.
 
@Sesamstrassentier: Gab es nicht schon einmal solch ähnlichen Fehler? Mir wäre so, als sei dem so gewesen.
 
@Sesamstrassentier: ach man, jetzt geht das wieder los. Wenn es diese Lücke ist "http://winfuture.de/news,49037.html" besteht sie seit 2001. Wenn es nicht die gleiche Lücke ist, ist es die zweite in Folge. OpenSSH hatte da aucu mal ein Problem, welches 2 Jahre nicht erkannt wurde."http://www.kubieziel.de/blog/archives/939-Tor-und-die-OpenSSL-Luecke-bei-Debian.html"
Nur eines ist sicher, nicht ins Netz gehen...
 
@Ratman: Wenns eine Lücke ist, die schon länger existiert zeigt es aber immerhin das OpenSource und viele Augen kein Garant für mehr Sicherheit sind. Schon gar nicht bei einem Mammutprojekt wie Linux. Erstens wird wohl kaum so oft auf einzelne Dateien oder gar Dateiinhalte geschaut und zweitens würden solche Fehler selbst dann nicht erkannt werden. Die sieht man nicht im Quellcode sondern nur im laufenden Betrieb. Ist ähnlich wie mit Buffer Overflows.
 
@Sesamstrassentier: Es wird nicht gleich gehandelt. Die Lücke besteht schon seit 27 Tagen.
 
@Sesamstrassentier: Schnell ist relativ. Schau mal hier: http://www.linux-magazin.de/NEWS/Symantec-Microsoft-patcht-schneller?category=0
 
@DennisMoore: Programme werden von Menschen geschrieben und Menschen mahen Fehler Ausserde ist das Quatsch was du sagst, Linux ist kein Mamutprojekt, sondern ein bestens funktionierender Kernel. Ich würde mir eher Sorgen um Windows machen, MS hats ja immer noch nicht geschafft ein abwehrstarkes Betriebsystem zu schustern. Aber haut euch mal die Platte mit Anty-Bla und Pups voll. Ihr seid doch alle paranoid.
 
@Sesamstrassentier: Das passt aber nicht zu den oft überheblichen Aussagen von Linux-Anwendern, die fest davon ausgehen, daß Fehler nicht nur schnell gefunden sondern auch schnell gefixt werden, weil ja quasi Jeder den Source-Code liest und ein Meister-Programmierer ist.
 
@1. Oktober: Warum ein Meister-Programmierer? Ich verwende Linux, aber nicht weil die Programmierer besser sind, als die Windows Programmierer. Diese Aussage wäre auch völlig falsch, denn mit ziemlich großer Sicherheit sind sogar die Programmierer von Microsoft weit besser ausgebildet. Der große Vorteil von Linux ist einfach die Menge der Programmierer bzw. Kontrolleure. Wenn viele schlecht ausgebildete (aber nicht minder intelligente!) Personen an einem Projekt arbeiten, trägt jeder seinen kleinen Teil an Wissen dazu bei. Leider gibt es Bereiche am Kernel, die einfach für viele zu uninteressant erscheinen, und dadurch nicht mehr im Nachhinein angesehen werden, da jeder glaubt es funktioniert sowieso. Somit entstehen auch bei jedem noch so gut organisierten Projekt Fehler. Bei Microsoft wird den Programmierern einfach ein gewisser Teil zugewiesen. Und zu der Statistik von Symantec: Glaube nie einer Statistik die du nicht selber gefälscht hast xD
Edit: Rein aus Interesse: Wie kommst du auf den Namen 1.Oktober? Ist ein guter Tag, gefällt mir jedes Jahr wieder aufs neue xD
 
@Sesamstrassentier: Natürlich ist Linux ein Mammutprojekt. Was sollte es sonst sein? Zig Entwickler arbeiten an hunderttausenden Zeilen Quellcode. Wenn das kein Mammutprojekt ist, dann weiß ich auch nicht. Und wenn der Rest von meinem Post Quatsch ist, dann müßte jede Funktion in jeder Datei im Linuxkernel permanent kontrolliert werden ob sie in Kombination mit anderen, neuen Funktionen, immer noch so arbeitet wie sie soll. Und das ist schlicht unmöglich.
 
Schöne Scheisse, schonwieder Treiber neu kompilieren. Linux braucht endlich eine echte Treiber-API.
 
@Kirill: Nein, du brauchst mehr Idealismus. Dann macht dir die Kompiliererei auch nix mehr aus :D
 
@Kirill: Ich warte lieber auf einen passenden Patch für meinen aktuellen Kernel.
 
@Kirill: wat musst du? wieso das denn???
 
@willi_winzig: Dumm schwätzen muss er, wieso weiß ich allerdings auch nicht :)
 
@Kirill: Treiber für was?
 
Mit Windows7 wär das nicht passiert :) Sorry aber das musste sein.
 
@~LN~: Naja, an einem laufenden Windows7 kann ich aber jede Menge Systemdateien verändern/löschen, da hindert mich nichts dran. Was bei Linux eine Sicherheitslücke ist, ist bei Windows der Normalfall. xD
 
@~LN~: (-) - Sorry, aber das musste sein. :)
 
@~LN~: ICH brauche keine Virensoftware oder firewall, Ich weiss welche Dienste benötigt werden und welche nicht. Mein OS schaltet nicht alles ein, sondern nur das was benötigt wird. MS ist Steinzeit.
 
Ich verstehe immer nicht, wie die Linux-Leute diesen Windows-Kiddiekack nicht stehen lassen können, sondern immer gleich in die Offensive gehen. Ihr müsst nicht für Aufmerksamkeit kämpfen...
 
@Sesamstrassentier: Mit solchen pauschalen Aussagen machst Du Dich sicher sehr beliebt hier.
 
@Sesamstrassentier: Überheblichkeit wie sie zu Linux gehört, fang mal an etwas nachzudenken nicht nur Dienste sondern auch mal das Hirn einschalten. Jedes Betriebssystem hat Fehler und Probleme nur Linuxer sind darüber immer mächtig beleidigt.
 
@Sesamstrassentier: wenn ich mich als USER um sowas wie Dienste kümmern muss ist das BS für mich auch Steinzeit. Damit hast ja schon zugeg., dass man Admin-Kenntnisse für Linux haben muss (was sich bei meiner Arbeit mit Suse-Linux und Ubuntu auch bestätigt hat)....Wenn Du mir EINE Distri nennst, die (wie Win7) ALLE Treiber für ALLE meine Hardware der letzten 8 Jahre nachlädt (selbst getestet !), dann schaue ich mir Linux mal wieder an (mache ich so alle 2 Jahre mal, früher beruflich als Admin, und werde jedesmal herb enttäuscht, wie rückständig vieles immer noch ist)
 
@brunner.a: yep (+), besser hätte ich's auch nicht sagen können...wobei ich die Fehler bei Win7 (selbst beim RC) auch nach 3 Monaten nicht gefunden hab (bei Vista hatte es genau 2 Minuten gedauert).
 
@~LN~: wer im glashaus sitzt...
 
@Sesamstrassentier: das ist die richtige einstellung. aber die wahrheit ist bitter und windowsuser sind die meister der verdrängung.
 
@pubsfried: du redest son scheiss, da kreuseln sich mir die fußnägel, du ballerst dein rechner lieber mit irgend nen zeug zu, anstatt die übeltäter allein abzustellen. was sind denn adminnkenntnisse für linux...lol... ehrlich, geh dir maln paar grundkenntnisse zulegen bevor du hier son scheiss verbreitest. p.s.... win7 kennt mit nichten jede hardware und treiber gibts auch nur, weils vorher vista gab/gibt... was ja eigentlich das selbe ist, vista/win7. aber eeegaaaal.
 
@pubsfried: Komisch, sowohl mein alter Drucker als auch meine alte Digicam funktionieren nicht unter Windows 7. Und die sind juenger als 8 Jahre. Das ist ja toll fuer dich, dass deine Sachen einfach alle funktionieren, aber wenn man sich so in den Windows-Foren umschaut, ist das eben - wie auch bei Linux - nicht zu verallgemeinern. ___ Und dass Windows 7 staendig Treiber nachladen will, obwohl man schon eine neuere Version installiert hat, ist auch nicht so toll. Nur nebenbei. (Selbst erfahren bei Intel-, ATI- und NVIDIA-Grafik sowie Realtek-Netzwerk und -Audio. Kurz: Auf jedem meiner Rechner mindestens einmal.)
 
@Sesamstrassentier: Also wenn ich bei meinem Kumpel sehe, dass er bei seinem Archlinux immer erst den DHCP Client aktivieren muss, von hand, wenn er ein LAN-Kabel ansteckt um ins Netz zu kommen ... die ganze Frickelei, die er betreibt um sein System sauber am laufen zu halten, bzw. überhautp erstmal ans laufen zu bekommen - ne danke, dann lieber Windows.
 
@voodoopuppe: Der Archer wird aber ganz genau wissen warum er das manuell vorzieht. Mit großer Wahrscheinlichkeit zieht der nämlich statische IP im Lan vor. Und anstatt umständlich in unzähligen verschachtelten Dialogen in Windows und wegen Windows fälligen reboots, ruft man unter vielen Unixoiden Systemen dann für ausnahmsweise mal DHCP benutzen ganz einfach den dhclient dezidiert gezielt auf das gewünschte Netzwerk Device auf. Das ist viel einfacher als unter Windows und geht viel schneller und ohne reboot.
 
@Sesamstrassentier: DAS ist einfach nur schlimm... Bei jeder News zu diesem Thema werden die gleichen Kinder-Gequängel-BlaBla Sprüchle ausgepackt. "Ihr" müsst niemandem 23x pro News erzählen, dass Ihr Linux besser findet... man erkennt es daran, dass ihr es nutzt... Ich würde es nutzen, wenn ich es besser fände :) Und auf lange, oder kurze Sicht wird sich das bessere BS durchsetzen... das ist einfach fakt. Meiner Meinung nach, würden die Nutzer in in so einer "geizigen" Zeit nicht 70-150€ pro BS zahlen wenn es für sie qualitativ gleichwertige, kostenlose Alternativen gäbe. Das ist meine Meinung ich richte mich nach Nutzerzahlen und nach eigenem Empfinden... Keines der BS ist perfekt, dass wisst "ihr" genau wie "wir"... Und hört mir auf mit diesem langzeit Argument "ich brauche keine Firewall, Anti-Vir..." Es stimmt! aber warum weiß auch jeder, brauch ich hier jetzt nicht nennen. Es ist peinlich, seit 7 und mehr Jahren immer das gleiche Argument zu nennen... gerade das zeigt, dass ein BS stehen bleibt und sich nicht sonderlich schnell und gut entwickelt...
 
@timbowrockt: Die Geschichte hat schon mehrfach gezeigt, dass sich gerade bei technischen Dingen sehr oft - wenn nicht sogar in der Regel - nicht das beste durchsetzt, sondern das mit dem besseren Kartell im Ruecken oder dem besseren Marketing. Und dieses "geizige Zeit"-Argument ist doch auch an den Haaren herbeigezogen. Die Leute, die sich im Moment ein OS / einen PC kaufen, sind wohl kaum negativ von der Wirtschaftskrise betroffen, im Gegenteil. "Normale Leute" profitieren ja sogar (im Moment) von der Wirtschaftskrise, da die Preise fuer alles moegliche im Sturzflug waren. Ausserdem ist der groesste Teil der MS-OS-Verkaeufe (im Privatkundenmarkt) OEM-Kram, dessen Preis einen Bruchteil des Retail-Preises ausmacht und daher beim Kauf eines neuen Computers schlicht und ergreifend vernachlaessigbar ist. ____ Der Sicherheitsaspekt ist - egal aus welchen Gruenden auch immer - nach wie vor ein Argument. Es ist doch egal, woher dieser Vorteil kommt, aber er existiert nunmal. Wie wichtig das letztlich ist, muss jeder selbst bewerten. "Peinlich" ist da gar nichts, zumal das ja nicht das einzige Argument "gegen MS" ist, auch wenn du es so darstellst.
 
@bolg: OK, wenn du entscheiden kannst, was das Beste ist... Immer lustig, wie Leute ihre eigene Meinung verallgemeinern. Ich bin trotzdemd der Meinung das sich hochwertigere Dinge durchsetzen...Immer! Mit peinlich, meinte ich nur die Eigenschaften der Linuxfernatiker, welche anscheinend nicht damit klar kommen, wenn andere Menschen andere Sichtweisen und Meinungen haben. Du trägst doch auch nicht grün, wenn dir rot besser gefällt... Aber genau dies fordert ihr, wenn ihr jeglichen anderen Nutzer als dumm und unwissend bezeichnet, nur weil sie nicht genauso "aufgegeilt" reagieren bei dem Bild eines Pinguins. :) Zum Thema Sicherheit kann ich euch seit einiger Zeit nicht mehr ganz folgen... Ihr klammert euch in diesem Bereich an Argumente fest, welche einfach veraltet sind. Ich bekomme ein Windows genauso sicher wie ein Linux und genauso bekomme ich ein Linux genauso unsicher wie ein Windows. Diese Sicherheitsargumente, die ihr nennt, stammen aus früheren Zeiten. Ich sage, dass Linux in anfänglichen Zeiten mindestens genauso unsicher war wie Windows... doch auch hier ist und war wieder der Vorteil, (übrigens, genau wie bei den Viren...) dass die Nutzer es als BS nicht angenommen haben...
 
@timbowrockt: Ich benutze Linux nicht einmal, wovon du aber anscheinend ausgehst, und trotzdem kann ich herauslesen, dass du nichts anderes als ein Windows-Fanboy bist und es dir ausserdem an Leseverstaendnis mangelt. "fordert ihr", "als dumm und unwissend bezeichnet", "aufgegeilt reagieren bei dem Bild eines Pinguins", "bekomme x genauso sicher wie y". Wenn ich das schon lese. Diskussion unmoeglich. Troll dich einfach.
 
@bolg: ahhhjaaa ich mag dich! :) Du meintest doch, du müsstest mit mir diskutieren. Mein Post war an "Sesamstrassentier" gerichtet und nicht an dich... aber natürlich fehlt es mir an Leseverständnis. Immer gut wenn sich Leute in Themen einmischen und dann auch noch einen Standpunkt vertreten wollen, von dem sie keine Ahnung haben. "Ich benutze Linux nicht einmal" Ja, bin ein MS-Fanboy der ersten Stunde. (Benutze Win7, XP und Debian) Es tut mir Leid, wenn du durch meine "Spruch" ("aufgegeilt reagieren bei dem Bild eines Pinguins") ein nasses Höschen bekommen hast, aber da du ja nicht mal Linux benutzt sollte es dich ja nicht zu hart getroffen haben. Hoffentlich hast du meinen Smilie bemerkt, oder ist dir Humor früher mit dem Gürtel beigebracht worden? Jop, ich werde mich jetzt trollen, da eine Diskussion zumeist aus Argumenten besteht, welche du aber leider durch deine Engstirnigkeit nur aus einer verstaubten Schublade holen kannst.
 
So So, Root Rechte für Jedermann, also sind die Kommentatoren hier jetzt in der Lage sich Root Rechte bei Linux zu besorgen, aber nicht in der Lage dort Programme zu installieren? ^^ Ubuntu ist übrigens per default nicht betroffen, obwohl es ein Debian Ableger ist, dort steht die Variable nämlich auf 65535 und nicht auf 0. Viel Spaß also beim suchen eines RedHat oder Debian Systems wünsche ich "Jedermann"!!
 
@OttONormalUser: so sieht es aus :)
 
hier steht mal wieder nur die hälfte... die lücke ist nur für einen teil der mehrbenutzersysteme kritisch da man erstmal nen account auf nem server etc. brauch um überhaupt mehr rechte erlangen zu können! u.a. wird die variable durch programme wie wine und entwicklungsumgebungen auf 0 gesetzt.
was auch noch fehlt ist das man die lücke sehr einfach mit nem echo beheben kann :.) nix kernel kompilieren oder so :) von mir aus könnte mein kernel hier 1000 solcher lücken haben, als single user kratzt mich das garnicht^^ EDIT: will natürlich die lücke nicht verharmlosen! gehört natürlich behoben.
 
@Darkstar85: Ja, einfach sysctl ändern, hier gibt es eine Anleitung für Debian: http://wiki.debian.org/mmap_min_addr
 
Nach Ausgabe von uname -a sehe ich der Meldung gelassen entgegen. :-)
 
@Fusselbär: Nach Eingabe von rm -rf /* hab ich andere Probleme. :-)
 
@USA: Wenn sich der Admin in den Fuß schießt, dann kann das viel Freude bereiten. Das ist Quelle für viele schöne Anekdoten: http://www.heise.de/netze/artikel/AdminDay-2009-Wenn-sich-der-Admin-in-den-Fuss-schiesst-221573.html
 
neeeiin.....das muss ich an das Bild vom Linux Gründer in China denken, vorm Stand von Microsoft. Lol
 
@muschelfinder: das nächste Mal bitte Grammatik und Rechtschreibung beachten. Tipp: Vielleicht legst du dir mal ein Duden zu, statt dein Taschengeld am Zigarettenautomat zu verballern.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles