Kritische Lücke im Linux-Kernel betrifft alle Versionen

Die Google-Sicherheitsspezialisten Tavis Ormandy und Julien Tiennes haben eine kritische Sicherheitslücke in allen gängigen Versionen des Linux-Kernels entdeckt. Betroffen sind die Ausgaben 2.4 und 2.6 seit 2001. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++14 --27

Haha es gibt nicht nur bei MS Sicherheitslücken :-)

[re:1] am ++11 --5

@bambam84: nobody is perfect und bei linux wird aber immer direkt der kernel ausgetauscht der auch stätig für neuere computer angepasst wird, bei ms wird alles zugepatcht..bei sogut wie JEDEM programm..gerät..os, alles was von einem menschen 'geschrieben' wird, kann auch geknackt werden, alles nur eine fraage der zeit und des aufwandes.. und ich würde mal sagen, das linux mehr sein kernel und systeme aktuallisiert und somit schüzt als zb ms

Bearbeitet am 14.08.09 um 11:05 Uhr.

[re:2] am ++10 --3

@bambam84: Ja, geh wieder spielen. Ich würde ja Fragen ob du das Ergebnis einer Sicherheitslücke warst... aber das wäre gemein.

[re:3] am ++3 --2

@bambam84: Behauptet wer das Gegenteil?

[re:4] am ++3 --6

@bambam84: Nur mit dem Unterschied das diese 8 Jahre bestanden hat ohne das sie gleich gefunden wurde, daher wurde Sie sicher auch wenig benutzt... Im Gegensatz zu dem Schweizerkäse Windows wo mehr Loch nicht gerade für mehr Sicherheit steht

[re:5] am ++6 --2

@derberliner06: Ich würde die 8 Jahre nicht gerade als Argument nehmen, denn es gibt hier doch zahlreiche Leute die Behauptet haben, dass unter Linux jeder Fehler usw. in kürzester Zeit IMMER gefunden werden! Dass unter Linux solche Dinge selten oder erst spät ausgenutz werden liegt wohl eher an der Tatsache, dass sie nicht von den Leuten gesucht/gefunden werden, die solche missbrauchen wollen. Da Linux Dank seines relativ geringer Verbreitungsgrad nicht interessant genug ist.

[re:6] am ++4 --1

@hARTcore: Ob man den Kernel nun austauscht oder patcht. Das Ergbnis sollte das selbe sein.

[re:7] am ++3 --

@bambam84: Ja, die Forenbeiträge sind mir auch noch dunkel in Erinnerung, als es um bestimmte Sicherheitslücken unter Windows ging. Sowas könne so quasi unter Linux niemals passieren. Mir persönlich egal, wenn ich ein BS nutze möchte ich auch das alles schnell gepatched/gefixed wird. Nobody is perfect.

Bearbeitet am 14.08.09 um 15:34 Uhr.

[re:8] am ++--1

@Ruderix2007: schau dir doch mal den Marktanteil im Serverbreich nochmal an ^^

[re:9] am ++1 --1

@Yogort: Zu Pauschal. Verwaltungsserver ist uneingeschränkt MS führend, bei Webserver Linux mit ca. 55 zu 45%. Datenbanken ist Linux uneingschränkt führend. Dazu muss man aber wieder sagen, dass viele dafür keinen eigenen Server nehmen. Ausgenommen Grossfirmen. Da aber dieses Problem auch bei Webserver auftritt, ist es trotzdem nicht verwunderlich, dass es bisher "nie" missbraucht wurde, man muss nur genau verstehen, wann und wie das Problem auftritt. Würde es z.B. im einem Verwaltungsserver bestehen, wäre die Lücke um ein vielfaches kritischer.

[re:10] am ++3 --1

@derberliner06: bei 1 % Nutzerzahlen ist es doch kein Wunder. Interessiert sich ja keiner dafür :-)

Auf jedenfall freut mich mal so eine Meldung die die Linux Junkies ein wenig erschüttert über ihr ach so sicheres System :-)

[re:11] am ++--2

@andi1983: Diese Sicherheitslücke kannst du nicht online ausnutzen. Das Gerücht, dass Sicherheitslücken bei Linux nicht ausgenutzt werden, weil es sich nicht lohnen würde, ist ein Gerücht, dass von Idioten und Fanboys immer wieder verbreitet wird.

[re:12] am ++2 --2

@Yogort: Du neigst aber auch dazu, Ansichten sehr einseitig zu betrachten. Bei Serversystemen werden Lücken unabhängig ob Windows oder Linux gleichermassen ausgenutzt. Weil der Verbreitungsgrad bzw. der Nutzen gross ist. Es ist unbestritten, dass es für Linux umfangreicher ist, Schadsoftware zu entwickeln, aber sicher nicht unmöglich. Wenn wir aber von Desktopsystemen sprechen, stimmt es schon, dass es sich kaum lohnt, sich die Mühe für Linux zu machen um Lücken auszunutzen. Es nutzen weltweit ca. 1% Linux, da ist die Chance eine solches System zu finden relativ klein. Entwicklungen für Schadsoftware rechnet sich aus dem gleichen Grund nicht. Personen die Zeit in solche Projekte stecken, wollen schnell soviele wie möglich erreichen und je nach Zielsetzung, Schaden anrichten, oder die Rechner kontrollieren. Der geringe Verbreitungsgrad ist für Linux zur Zeit noch ein Vorteil und bewahrt sie weitgehnst vor grösserem Schaden. Eine solche Lücke wie diese wäre unter Windows niemals 8 Jahren ungepatcht geblieben. Nicht weil Windows schneller oder besser ist, sondern weil es schon viel früher zu einem ernsten Problem geworden wäre. Natürlich kannst du mir widersprechen, aber wenn du ehrlich und sachlich bist, musst du mir recht geben.

[re:13] am ++--2

@Rumulus: "[...]wenn du ehrlich und sachlich bist, musst du mir recht geben." Allein, das disqualifiziert dich schon von einer sachlichen Diskussion, sorry!

[re:14] am ++--1

@Rumulus: Zitat: "Eine solche Lücke wie diese wäre unter Windows niemals 8 Jahren ungepatcht geblieben." - Gegenargument: "Sicherheitsupdate für Vista, XP, 2000 und Windows Server (KB961371)" . Die Lücke in der OpenType Font Engine zieht sich von Windows 2000 bis zu Windows Vista. Somit kann sowas sehrwohl auch MS passieren, sofern MS die Lücke nicht versucht zu verschweigen. Btw. Die 1% kann man in die Tonne kloppen. Solche Statistiken funzen über Seiten, wenn man keine der Seiten besucht wird man auch nicht in der Statistik erfasst. Wer weiss wie hoch die Dunkelziffer ist?

Bearbeitet am 14.08.09 um 22:05 Uhr.

[re:15] am ++--

@root_tux_linux: Noch zu den 1 %, wenn ich Schadcode in nur die Hälfte der 1% Linuxsysteme einbringen könnte und z.B. Online-Banking-Accounts auszuspähen, und von jedem gehackten System nur 1 &$8364: abzweigen könnte, ich wäre reich. Kann dir nur zustimmen. Linux hat natürlich auch Sicherheitslücken, gott sei dank werden sie immer rasch behoben, heute bekannt geworden und schon wird am patch gewerkelt. Ich möchte nichts gegen Windows oder Microsoft sagen, wenn jemand das lieber benutzt, soll er es bitte tun, aber bitte verschohnt uns dann von eurem Halbwissen über Linux, vielen Dank :)

[re:16] am ++2 --2

@root_tux_linux: Das von dir beschriebene KB ist RDP/ EOT Problem und kein Kernel! VISTA hat nicht den gleichen Kernel wie XP W2k!!! Wenn man nicht als Admin angemeldet ist, ist diese Lücke NICHT kritisch. Damit dieser Fehler ausgenutz werden kann, muss man als Admin angeldet sein und eine Remontverbindung bestehen. Hier noch den Link Bulletin: http://tinyurl.com/lm8pts. Dein Aussage bezüglich der Dunkelziffer, gilt aber für alle! Siehe da, dass ist sachliche Ansichtsweise. Ich versteh aber was du damit Aussagen wolltest und ich stimme dir zu, auch MS lässt sich manchmal Zeit, oder Lücken werden erst nach Jahren gefunden. Ich höre hier auf, ich weiss wo so was hinführt! @Yogort. Dein letzter Beitrag hat meine Vermutung bestätigt in Bezug auf deine Person. Schade du hättest mich gerne eines Besseren belehren dürfen........

Bearbeitet am 14.08.09 um 22:58 Uhr.

[re:17] am ++1 --2

@bambam84: ich find den Kommentar mal gut, damit diese ganzen "bei-uns-gibts-keine-Viren-Linuxer" mal wieder auf den Teppich kommen in ihrer kleinen bunten Pinguinwelt der freien Software(lücken) !

Bearbeitet am 14.08.09 um 23:05 Uhr.

[re:18] am ++--1

@Rumulus: Kritische Sicherheitslücke im Windows KERNEL von Win 2000 bis zu Windows Vista: http://www.microsoft.com/austria/technet/bulletin/ms09-025.mspx. Es gibt in Windows Lücken die 6,8,9 Jahre ungepatcht waren. Im Kernel und ausserhalb und somit ist deine Aussage widerlegt. Bitte keine Ausrede mehr.

Bearbeitet am 14.08.09 um 23:10 Uhr.

[re:19] am ++1 --2

@root_tux_linux: Zitat aus deinem eigenen Link: "Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeiten auszunutzen. Die Sicherheitsanfälligkeiten können nicht per Remotezugriff oder von anonymen Benutzern ausgenutzt werden." Lass es doch gut sein, ich habe dir oben (re16) doch schon zugestimmt und wenn du Beispiele bringst, lese sie doch zuerst selbst durch, erspart dir Peinlichkeiten. Für alle die es selbst nachlesen wollen, gekürzter Link: http://tinyurl.com/oos2yk

Bearbeitet am 15.08.09 um 06:10 Uhr.

[re:20] am ++--1

@Rumulus: Zitat aus den News: "Nutzer mit eingeschränkten Rechten haben dadurch die Möglichkeit, an Root-Rechte auf dem System zu gelangen." - Für Leute wie dich heisst das im Klartext: LOKALER USER! Damit dich jeder nachvollziehen kann: Linux 8 Jahre und lokaler User. Windows 9 Jahre und lokaler User. Trotzdem behauptest du weiterhin solche Lücken gibt es nicht bei Windows und bringst wieder eine Ausrede mit lokalen User? Sorry, aber ich will ja nicht wissen in was für einer Welt du lebst. Damit ist das Thema beendet das der liebe Rumulus wie immer keine Fakten lesen oder anerkennen kann. Btw. Die schlimmsten Schurken sind die, die sich als angebliche "Freund" tarnen.

Bearbeitet am 15.08.09 um 07:41 Uhr.

[re:21] am ++1 --2

@root_tux_linux: Wo liegt dein Problem????? Ich habe dir doch schon recht gegeben!!!!!!!!!!! Zitat aus re16: "Ich versteh aber was du damit Aussagen wolltest und ich stimme dir zu, auch MS lässt sich manchmal Zeit, oder Lücken werden erst nach Jahren gefunden." Es ist sicher nicht meine Art hier, aber was bist denn du für ein Kindskopf? Geht es dir um den Streitenswillen? Was muss ich noch schreiben, damit du es verstehst? Wie oft muss ich dir noch recht geben? Nur so zur Info, wenn ich mich lokal anmelden kann, brauche ich als Informatiker sicher keine Lücke um Schaden anzurichten. Es reicht schon wenn ich nur physchis an einen Rechner komme, dass ich Schaden anrichten kann, selbst mit eingeschränketen Rechten kann das einer, wenn von der Materie etwas versteht. Darum war dein Beipiel lächerlich, wenn du mir nicht glauben willst, dann erkundige dich bei jeamnden deines Vertrauens. Er wird dir meine Aussage sicher bestätigen!!! In re9 habe ich auch deutlich gemacht, dass der Fehler unter Linux nicht all zu schlimm ist. Zeige Charakter und stehe zu deinem Fehlverhalten oder lass mich in Zukunft in Ruhe, auf Trolle wie dich, kann ich sehr gut verzichten. Zum x-sten Mal ich habe dir bereits in re 16 zugestimmt, ist es bei dir endlich angekommen?

Bearbeitet am 15.08.09 um 13:09 Uhr.

[re:22] am ++1 --1

@root_tux_linux: Ich nutze auch Linux wie du sicher noch weisst, aber du gehörst zu den Fanatiker. Unterstellst anderen, dass sie keine Fakten lesen und hier ist ja der Beweis, wie schon so oft, dass du es gerade nicht machst. Beleidigungen und persönliche Angriffe sind bei dir schon leider normal. Du solltest dringend, dein eingenes Verhalten einmal überdenken, denn ich kann Rumulus nur zustimmen, zwar in einem anderen Sinn, aber du machst dich hier lächerlich. Frunde hast du hier sicher nicht viele, höchsten die, die aus eins zwei machen.................

Bearbeitet am 15.08.09 um 14:00 Uhr.

[re:23] am ++--2

@Rumulus: Mein Problem? Ich hab dir die Lücken gezeigt um deine pauschale Aussage das es in Windows keine 8 Jahre alte ungepatchte Lücken gab zu widerlegen. Diese wurde widerlegt und trotzdem kommst du an mit "Kernel, Admin, lokaler User, remote" was man als Ausrede auffassen kann oder wo war da der tiefere Sinn bei: "ich solle doch die Links vorher lesen"? Entweder stimmst du zu das es eben doch solche Lücken bei Windows gibt oder du tust es ned. Beides geht nicht! Btw. Lass dein "Informatiker" stecken, dass werd ich dir sowieso nie abnehmen: :)

[re:24] am ++--

@root_tux_linux: Mann dir fehlt es aber wirklich an Rückgrad!

[re:25] am ++--1

@Ruderix2007: Zitat: "Frunde hast du hier sicher nicht viele, höchsten die, die aus eins zwei machen.." - Soviel zu Verhalten und persönlichen Angriffen was? *narf*

[re:26] am ++--1

@Ruderix2007: Oh und schon wieder? *narf*

[re:27] am ++--

@root_tux_linux: Was wills du den noch? Ab [re16] hat er dir doch zugestimmt und bei jedem weiteren Kommentar wiederholt und trotzdem hast du immer weiter gemacht, hat das etwas mit Rückgrad zutun? Sicher nicht............! Wie man in den Wald schreit, tönt es halt manchmal zurück, im Gegesatz zu dir sind diese Vorwürfe hier ersichtlich berechtigt! Ich frage mich ernsthaft, was mit dir los ist? Dein Verhalten ist sicher nicht normal. Meine ich jetzt nicht als Beleidigung sondern ganz ernsthaft. Ich verstehe dich einfach nicht.......

Bearbeitet am 15.08.09 um 14:36 Uhr.

[re:28] am ++--

@Ruderix2007: Soll ich dir antworten, wirst dus verstehen oder wirst du nur wieder beleidigen? Behauptung: "Windows hat keine 8 Jahre alte ungepatche Lücken". Gegenbeiweis erbraucht! Ausrede: "Das von dir beschriebene KB ist RDP/ EOT Problem und kein Kernel!". Neuer Gegenbeweiss erbraucht! Ausrede: "Zitat aus deinem eigenen Link: "Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal ...". - Ich sags jetzt extra für dich ganz langsam. ENTWEDER GIBT ES JETZT SOLCHE LÜCKEN ODER NICHT! Unabhängig ob die Lücke im Kernel oder Userland ist und wie man diese ausnutzen kann.

Bearbeitet am 15.08.09 um 14:52 Uhr.

[re:29] am ++--1

Einfacher Ausgedrück: Behauptung: "Dieses Auto fährt 400km/h schnell" - Gegenbeweis: "Auto fährt nur 200km/h". Dann ist der Beweis erbracht und der "Behaupter" muss dann nicht was von "Aber das Auto hat einen Elektromotor" und "Aber der Fahrer wieder 90kg nicht 80kg" anfangen.

[re:30] am ++--

@root_tux_linux: ER HAT DIR DOCH ZUGESTIMMT............!!!!!!!!!!!!!Mann so dumm kann man doch nicht sein? Bitte lass es doch gut sein, jetzt ist es wirklich nur noch kindlich. Ich über lasse dir auch gerne das letzte Wort, dass du so oder so immer haben musst! Schönes Wochenende wünsche ich dir und bitte, bitte schreibe nie mehr auf meine Beiträge, ignoriere mich einfach, egal wie stubit es dir vorkommt. Ich verspreche dir hoch und heillig, ich werde dich in Zukunft auch ignorieren, es wird mir sogar eine Freude sein. :-)

[o2] am ++10 --1

Jedes Betriebssystem hat halt einige Sicherheitslücken, dieses ist davor auch nicht sicher und ist auch nicht sehr Schlimm. Denn wenn man die Lücke findet, kann man ie doch schließen.

[re:1] am ++--1

@DARK-THREAT: Da hast Du recht, hinzu kommt die Tatsache dass Linux einen Marktanteil von unter 10% hat.

[re:2] am ++4 --

@Steiner2: und warum sollten schon hacker das OS angreifen, womit sie ihre angriffe starten :P

[re:3] am ++3 --

@Steiner2: Naja, im Home bereich sicher noch weniger. Kritisch ist das ganze im Serverbereich. Da hat Linux doch einiges mehr an Marktanteil Und gerade da sind solche Lücken alles andere als gut....

[re:4] am ++4 --1

@Steiner2: wohl eher unter 2%

[re:5] am ++2 --11

@DARK-THREAT: Naja, Microsoft würde noch 2 Jahre warten, lol

Bearbeitet am 14.08.09 um 11:34 Uhr.

[re:6] am ++1 --

@BlackFear: Man sollte eine Lücke auch erst veröffentlichen, wenn man sie geschlossen hat. Das ist ein normales Verhalten... Diese hier ist seit 2001 am "Start" ,-)

[re:7] am ++1 --4

@Steiner2: Das mit dem Marktanteil von unter 10% stimm so nicht. Im Desktopbereich hat Linux vielleicht einen Marktanteil von unter 10%. Im Server- und im Embeddedbereich sieht das Ganze schon anders aus. Für viele Firmen wird Linux mit WINE auch im Desktopbereich eine bessere Alternative zu Windows 7 sein.

[re:8] am ++--1

@kfedder: Läudft SAP Software auf WINE unter Linux? Wenn ja, dann ist es eine Alternative.. sonst eher nein, nicht ganz.

[re:9] am ++2 --1

@DARK-THREAT: heißt aber nicht, dass sie schon seit 2001 bekannt ist ,)

[re:10] am ++2 --1

@DARK-THREAT: kein betriebssystem ist 100%, aber es ist ein unterschied zwischen eingeschränkten user oder zugriffe direkt aus dem internet sowie es meistens bei windows der fall ist.

[re:11] am ++--

@DARK-THREAT: "Kann man den Internet Explorer doch schließen" :D auch irgendwie war, der Tippfehler.

[re:12] am ++1 --3

@n3xus_2k4: Solche Lücken gibts aber auch bei Windows. http://www.microsoft.com/austria/technet/bulletin/ms09-025.mspx. Nach 9 Jahren gefixt!

[o3] am ++2 --1

krass, o1 wurde grade gelöscht?! mein re-kommentar =(

Bearbeitet am 14.08.09 um 11:11 Uhr.

[re:1] am ++--

@hARTcore: Ist nicht gelöscht, nur wegbewertet und wenn ein Mod meint, dass er ok ist, wird er freigeschalten.

[re:2] am ++1 --1

@hARTcore: o1 war ein Troll-Kommentar wie er im Buche steht, da wundert mich gar nichts. Wird schon wieder auftauchen, da dein Kommentar dazu sinnvoll war.

[o4] am ++--

find ich nice, dass man schon an der Luecke sitzt und Fehler behebt. Nun gut ist auch ein Kernel Problem, also was wichtiges und ernstes!

[re:1] am ++--

@StefanB20: Jupp. Der Fix wird nicht lange auf sich warten lassen.

[o5] am ++--

"It should also be noted that all kernels up to 2.6.30.2 are vulnerable to
published attacks against mmap_min_addr." - seit 2.6.30.3 isser wohl schon behoben =)

[o6] am ++--

SAP Software läuft unter Linux auch ohne WIne o.o
Zumindest unter Solaris läuft sie, also wird sie auch unter Linux laufen.

[re:1] am ++--

@Domino: Auch SAP Business One?

[re:2] am ++--

@DARK-THREAT: http://www.novell.com/products/server/sap/matrix.html
leider suse only

[re:3] am ++5 --1

@DARK-THREAT: SAP = Sanduhr Anschau Programm!

[re:4] am ++--

@Bösa Bär: hehe, der ist gut!

[re:5] am ++--

@Bösa Bär: wenn man es richtig einstellt dann nicht. Nagut an der Performance des ByDesign muss noch ein wenig gebaut werden, aber das ist ja noch in der Testphase. Das R3 läuft ganz gut, sogar auf einem Notebook als Testversion...

[re:6] am ++--

@tavoc: Muss zur "Ehrenrettung" von SAP auch zugeben, das die Performance seit einem Jahr sehr gut ist. Man darf auch nicht vergessen, das bei uns weit über 1000 Leute Daten in Realtime verwalten. Business Warehouse, sowie andere ABAPs, Workflows, Verknüpfungen zu anderen Programmen und Abfragen, diverse Mandanten kommen ja auch noch hinzu. Aber vor einiger Zeit war das eher mühsam, was die Performance anbelangte - daher kam auch der von mir genannte Spruch.

Bearbeitet am 14.08.09 um 15:27 Uhr.

[o7] am ++1 --1

Schätze mal, dass Sicherheitsupdates über die Linux Distributionen ziemlich schnell kommen werden, zumal der Patch ja bereits im Kernel-Repository eingeflossen ist. Linux Benutzer, die Linux als Desktop System auf ihren eigenen Computern benutzen, dürften auch erstmal ziemlich wenig zu befürchten haben. Anders mag das für große Linux Multiusersysteme aussehen, die vielen local Usern Zugang anbieten. An Unis zum Beispiel, da werden sich die Admins wohl so einige Gedanken machen, ob durch diese zeitweilig bestehende Möglichkeit da nicht der "Jugend forscht" Trieb geweckt werden könnte.

Bearbeitet am 14.08.09 um 14:52 Uhr.

[re:1] am ++--1

@Fusselbär: Ich schätze mal heute bzw morgen bei uns. Laut der LKML sind die ja am 2.6.30.5 dran.

[o8] am ++--2

Zitat: "rmandy und Tiennes glauben, dass Linux-Version 2.4 und 2.6 seit Mai 2001 betroffen sind, also 2.4.4 bis einschließlich 2.4.37.4 sowie 2.6.0 bis einschließlich 2.6.30.4." - Zitat: "Laut Ormandy und Tiennes soll der Exploit aber bei aktuellen Kerneln mit mmap_min_addr-Unterstützung nicht funktionieren, wenn dort mittels sysctl als Wert für vm.mmap_min_addr eine Zahl größer als Null definiert ist." - Warum sind die News von WF immer so unvollständig?