Gravierende Sicherheitslücke im Linux-Kernel 2.4 und 2.6

Quelle: heise.de

 

LINUX ist off-the-box nicht sicher, na ja. Die in c't 12'2004 p.152 vorgeschlagene Strategie für FTP- User (der Artikel betrifft das Härten von Web -Servern) eine Change- Root- Umgebung (speziell hier eine Fake- Shell) für Standard- User einzurichten, sollte der generische LINUX / BSD- Admin in seinem Repertoire haben.

Damit wäre der 'Standard- User' ohne Shell- Rechte aussen vor.


Andersrum ist es kein Geheimnis, dass LINUX genauso schlampig programmiert ist, wie MS- Systeme. Bleibt ja auch nicht aus. Spielen Spass und... immer hinein. Wer sich Stabiles ausserhalb der Fun- Sektion bauen möchte, setzt auf Free- BSD, Paranoiker auf Open- BSD.

2 cent

 

Angeblich funzt der Fehler auch unter Free BSD.

Der Fehler ist zwar nicht schön, aber auch nicht weiter tragisch, die Patches sind schon da und damit ist die Kuh vom Eis.

Greg

 

> Kuh vom Eis

Bei den Freaks sicher schon innerhalb der nächsten 12 Stunden, aber beim Rest?

J3x

 

Diese Lücke betrifft eigentlich nur Profis, weil wohl nur deren Maschinen einem entfernten User eine Shell zur Verfügung stellen (z.B. Webhoster). Das ist per default nicht installiert und für einen normalen Linuxrechner auch eher zweckfrei (Wozu sollte man das @ home benötigen??

Die Profis werden also ihre Maschinen patchen, der normale User @ home bekommt den Patch beim nächsten online-Update verpasst.

Gruß

Greg

 

Freebsd ist davon nciht betroffen
hab den code ausprobiert
funzt nicht.

und spontan würde ich sagen, dass adamantix linux davon auch nciht betroffen ist, jedoch ohne gewähr.

mfg

 

@killermaster:
Hier hat es wunderbar und schnell funktioniert. Erst alles tot, nach ein paar Sekunden gab es einen Reboot.
5.2.1-p5, eigener Kernel

 

Hehe, ich glaube nicht, dass du in nem stabilen 2.2-er kernel auch nur eine Sicherheitslücke findest bzw dass das irgendwann der fall sein wird
zur Erinnerung: LINUX ist der Kernel, das Betriebssystem ist GNU/LINUX!!!
Das Problem ist nur, dass die pcwelt selber sowas von unfähig ist, dass die foren-mitarbeiter seit X Jahren nicht mitbekommen haben, dass im "Linux-forum" nicht nur über den Kernel verhandelt wird...
Weitere it-wörter-verwechslungen findet ihr hier

MfG, bitumen

 

bääähhh
meine uptimes!!!!
adamantix ist leider davon auch betroffen
grrrrrrRr!


mal probieren auf netbsd...

 

netbsd ist davon nciht betroffen.

ich probiere nun mal auf freebsd 4.10

mfg

 

@bitumen:
Och, ich nehme an, da sind auch ein paar Dutzend drin. (:

In der iX gab es mal einen kurzen Artikel über flawfinder. Zumindest bei dem Ergebnis war der Sourcecode von Linux nicht gerade sauber. Einziges OS, daß mit extremen Abstand und als einziges nahezu tadellos glänzen konnte, war OpenBSD.

Zumal auch die GNU-Tools wie die glibc nicht gerade für ihre Schlankheit, Sauberkeit und Bugfreiheit bekannt sind. Zumal bei der glibc diverse sicherer Funktionen fehlen und sich die Entwickler leider weigern, die sicheren Funktionen einzubauen. Aber das wird ja seit Ewigkeiten kritisiert.

Ohne grsecurity geht unter Linux in Sachen Sicherheit ohnehin nicht so viel.

 

hast du nichts besseres zu tun?
jetzt ist jedoch wieder alles in butter, mein server ist sicher

mfg, bitumen

 

so
auf freebsd 4.x funzt nicht
und auf fbsd 5.x funzt

openbsd ist davon ebenfalls nicht betroffen.

mfg

 

http://www.pcwelt.de/index.cfm?pid=18&sid=11914&fa=120&bid=248&tid=934945