1. Foren
  2. Kommentare (alt, bis 13.1.2005)
  3. Software
  4. Betriebssysteme

Erneut kritische Sicherheitslücke im Linux-Kernel

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: Golem.de 18.02.04 - 16:55

    Paul Starzetz hat einmal mehr auf ein kritische Sicherheitslücke im Linux-Kernel hingewiesen. Betroffen ist erneut das Speicherchmanagement und hier die Funktion do_munmap(). Der jetzt entdeckte Fehler steht dabei in keinem Zusammenhang zu einer von Starzetz im Januar 2004 gefunden Sicherheitslücke in der gleichen Funktion.

    https://www.golem.de/0402/29824.html

  2. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: Marc 18.02.04 - 17:19

    Frage weiss jemand ob die CT-Knoppix - Version von vorletzter Woche betroffen ist?
    (bzw. befindet sich auf der Knoppixs wirklich der Kernel 2.6 oder schon eine höhere Version?)

  3. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: marcdevil 18.02.04 - 17:24

    mag sein, es geht aber auch einfacher, bei knoppix root zu werden: su

    :-)

  4. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: THE MAN 18.02.04 - 17:27

    Hi Marc,

    Sollte betroffen sein, alles unter 2.6.3 ist betroffen...
    Und der war für die CD zu neu.

    THE MAN

  5. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: Marc 18.02.04 - 17:28

    ja ist mir klar.. ich wollte mir die allerdings auf die Festplatte installieren... ist die frage ob ich mir jetzt ein neues Image ziehe bzw. auf den offiziellen Release mit dem 2.6er Kernel warte oder auch diese Version benutzen kann..

  6. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: yoda 18.02.04 - 17:38

    installiers und update

  7. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: yoda 18.02.04 - 17:39

    alles unter 2.6.2

  8. auch von SCO?

    Autor: pf 18.02.04 - 17:42

    Hat SCO schon Anspruch angemeldet?

    ;-)

  9. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: Marc 18.02.04 - 17:55

    ok.. alles klar.. danke! ;-)

  10. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: michi 18.02.04 - 18:17

    haja was auch sonst :)

  11. Re: auch von SCO?

    Autor: monkman 18.02.04 - 19:36

    die juristische abteilung braucht noch 'ne weile...

  12. Wieso kein audit?

    Autor: ac 18.02.04 - 19:41


    Es scheint ja dass die meisten Sicherheitsprobleme auf buffer-overflows zurückzuführen sind.
    Wiese wird nicht der gesamte Code durchgegrept, und alle Buffer geprüft, und
    z.B. strcat durfch strncat ersetzt? (o.ä., bin kein hacker)

  13. Re: Wieso kein audit?

    Autor: monkman 18.02.04 - 19:44

    gute frage... bei openbsd wird ja ähnliches gemacht, oder? vielleicht ist der aufwand zu groß, wenn man bedenkt, daß nicht mal ein milliardenschweres unternehmen dazu in der lage ist...

  14. Re: auch von SCO?

    Autor: Anwalt 18.02.04 - 19:57

    Das kann ja wohl nicht sein! Hier geht es ums pure Geld! Geld, jawohl! Da können diese Trottel von Anwälten doch nicht ihre verlängerte Mittagspause halten!
    Man sollte diese inkompetenten Idioten feuern und neue einstellen! Ich wüsste da schon jemanden...
















    P.S.: Wer Ironie findet, bitte unter dumpirony@ironycollector.new abliefern.

  15. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: Mephisto 18.02.04 - 20:02

    marcdevil schrieb:
    >
    > mag sein, es geht aber auch einfacher, bei
    > knoppix root zu werden: su
    >
    > :-)

    Wozu das? Knoppix kennt nur einen User: root!
    Auf der Platte hat das eigentlich nix zu suchen. Aber wenn dann ist es von den Lücken auch betroffen.

  16. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: Kolle 18.02.04 - 20:44

    Mephisto schrieb:
    >
    > Wozu das? Knoppix kennt nur einen User: root!

    *räusper* Das war mal! Mindestens seit V3.0 läuft bei Knoppix alles unter dem normalen User "knoppix", der Rest wird mit sudo erledigt.

  17. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: Marc 18.02.04 - 21:37

    und es hat sogar geklappt.. Grüße aus der Linux Welt ;-)

    Mal gucken ob ich meine XP Partition irgendwann platt machen kann..

  18. Re: Erneut kritische Sicherheitslücke im Linux-Kernel

    Autor: THE MAN 19.02.04 - 08:55

    So, So, hier ein Zitat aus dem Heise Newsticker:

    http://www.heise.de/newsticker/meldung/44755

    > Starzetz hat noch zwei weitere ungeprüfte do_munmap()-Funktionsaufrufe gefunden, die
    > möglicherweise ebenfalls ausnutzbar sind. Betroffen sind laut Starzetz die Kernel-Versionen
    > 2.2.25 und älter, 2.4.24 und älter sowie 2.6.2 und älter.

    Also wenn ich das richtig interpretiere (noch bin ich nicht besoffen, heute ist weiberfastnacht)
    ist auch 2.6.2 betroffen. Hast du ne bessere Quelle, die deine Aussage bestätigt?

    THE MAN

  19. Re: Wieso kein audit?

    Autor: sysadmin 19.02.04 - 08:58

    Dafür ists ja Open Source - wenn jemand ein audit machen möchte - legt los! Ein milliardenschweres Unternehmen hat dazu vielleicht auch nicht unbedingt den großen Anreiz, weil die Produkte dieses Unternehmens sowieso gekauft werden...

    Wenn es eine QA-Gruppe gäbe, die ein audit über den Kernel und evtl. andere Open Source Programme fährt, sollte Linux auch ein besseres Ansehen bei Firmen bekommen, bei denen es jetzt noch nicht so ist...

  20. ist kein Buffer-Overflow

    Autor: Otto d.O. 19.02.04 - 09:31

    Im konkreten Fall wird ein Returncode nicht geprüft, das heisst, eine Funktion macht weiter, obwohl die vorige fehlgeschlagen ist. In der Folge kommt die Speicherverwaltung des Kernels durcheinander. Diese Situation kommt im praktischen Leben nicht vor, lässt sich aber künstlich provozieren; danach ist ein Crash ziemlich wahrscheinlich; ob sich auch root-Rechte damit erlangen lassen, ist fraglich, aber die Vergangenheit hat uns deutlich gezeigt, dass man besser immer vom Schlimmsten ausgeht. Der Fehler ist wie viele andere dieser Art nur lokal ausnutzbar, d.h. man muss zumindest einen normalen Benutzer-Account haben und die Möglichkeit, eigene Programme zu installieren, damit man damit potentiell root-Rechte erlangen kann. Bezüglich der oben gestellten Knoppix-Frage würde ich mir mal nicht zuviele Kopfzerbrechen machen.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Landratsamt Lörrach, Lörrach
  2. Berliner Verkehrsbetriebe (BVG), Berlin
  3. VDI/VDE Innovation + Technik GmbH, Berlin
  4. ekom21 - KGRZ Hessen, Darmstadt, Gießen, Kassel

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 31,99€
  2. (u. a. XCOM 2 Collection für 16,99€, Bioshock: The Collection für 11,99€, Mafia 3: The...
  3. 14,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Data-Mining: Wertvolle Informationen aus Datenhaufen ziehen
Data-Mining
Wertvolle Informationen aus Datenhaufen ziehen

Betreiber von Onlineshops wollen wissen, was sich verkauft und was nicht. Mit Data-Mining lassen sich aus den gesammelten Daten über Kunden solche und andere nützliche Informationen ziehen. Es birgt aber auch Risiken.
Von Boris Mayer


    Elektromobilität: Diese E-Autos kommen 2021 auf den Markt
    Elektromobilität
    Diese E-Autos kommen 2021 auf den Markt

    2020 war ein erfolgreiches Jahr für die Elektromobilität. Dieser Trend wird sich fortsetzen: ein Überblick über die Neuerscheinungen 2021.
    Ein Bericht von Dirk Kunde

    1. Prototyp vorgestellt VW-Laderoboter im R2D2-Style kommt zum Auto
    2. E-Auto VDA-Chefin fordert schnelleren Ausbau von Ladesäulen
    3. Dorfauto im Hunsrück Verkehrswende geht auch auf dem Land

    Antivirus: Das Jahr der unsicheren Sicherheitssoftware
    Antivirus
    Das Jahr der unsicheren Sicherheitssoftware

    Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.
    Von Moritz Tremmel

    1. NortonLifeLock Norton kauft deutschen Antivirenhersteller Avira