Linux 15.070 Themen, 107.540 Beiträge

Verfolgung starten Optionen

Sicherheitslücken in Linux-Kerneln 2.4.x und 2.6.x

violetta7388 / 6 Antworten / Baumansicht Nickles

Hallo Forum,

noch einmal wird von der community auf alte bestehenden Sicherheitslücken in den Linux-Kerneln

- Linux 2.4, from 2.4.4 bis einschließlich 2.4.37.4 und
- Linux 2.6, from 2.6.0 bis einschließlich 2.6.30.4

hingewiesen und das Einspielen des korrigierenden patches empfohlen.

Download und weitere Details:
http://article.gmane.org/gmane.comp.security.full-disclosure/68951
http://www.golem.de/0908/69059.html

MfG.
violetta

bei Antwort benachrichtigen
KarstenW violetta7388 „Sicherheitslücken in Linux-Kerneln 2.4.x und 2.6.x“
Optionen

Die Sicherheitslücken werden normalerweise von den Maintainern von den Distributionen geschlossen.

Debian GNU/Linux https://www.debian.org/index.de.html
bei Antwort benachrichtigen
the_mic KarstenW „Die Sicherheitslücken werden normalerweise von den Maintainern von den...“
Optionen

Bzw werden von den Entwicklern auf Kernel.org in den Hauptzweig eingespielt und im Rahmen des nächsten Releases freigegeben.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
violetta7388 the_mic „Bzw werden von den Entwicklern auf Kernel.org in den Hauptzweig eingespielt und...“
Optionen

Hallo KarstenW und the_mic,

wie Sie den linux-blogs unschwer entnehmen können, existieren die Sicherheitslücken heute immer noch!
Erst mit Kernelversion 2.6.30.5 oder ff. wird der patch in den Hauptzweig aufgenommen.

Augenscheinlich hat bisher lediglich redhat reagiert und das auch nur im business-Bereich.

MfG.
violetta

bei Antwort benachrichtigen
the_mic violetta7388 „Hallo KarstenW und the_mic, wie Sie den linux-blogs unschwer entnehmen können,...“
Optionen

Natürlich wird das erst auf 2.6.30.5 in den Vanilla-Kernel aufgenommen, das ist auch der nächste zu veröffentlichende aus der 2.6.30-Serie. Eine 2.6.30.4.1 wär ja schon etwas blöd, vor allem, weil dann die Nummerierung ausufert. die x.x.x.y-Releases finden ja immer sporadisch und genau dann statt, wenn kritische Lücken zu flicken sind. Lass den Entwicklern also erst mal Zeit zu prüfen, ob der bislang eingereichte Patch nicht irgendwelche Regressionen (neue Fehler) einbringt.

Ich weiss nicht, ob der Fehler in der Realität dann wirklich so kritisch sein wird. Immerhin benötigt der Angreifer erst einen lokalen Account, dann müssen auch noch bestimmte Netzwerkprotokolle oder -treiber geladen sein. Grad auf einem Server wird man eher kaum Bluetooth (als willkürliches Beispiel aus den betroffenen Protokollen) geladen haben.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
violetta7388 the_mic „Natürlich wird das erst auf 2.6.30.5 in den Vanilla-Kernel aufgenommen, das ist...“
Optionen

Hallo the_mic,

kann im Prinzip mit dem Fehler leben. Verwunderlich ist jedoch, daß trotz upgrade auf Kernel 2.6 nicht reagiert wurde.

MfG. und schönes Wochenende
violetta

bei Antwort benachrichtigen
the_mic violetta7388 „Hallo the_mic, kann im Prinzip mit dem Fehler leben. Verwunderlich ist jedoch,...“
Optionen

Mein Nagios hat mich über Nacht mit Update-Verfügbarkeitsmeldungen für Debian eingedeckt. Bin jetzt grad dabei, ein paar Server zu aktualisieren :-)

cat /dev/brain > /dev/null
bei Antwort benachrichtigen