11 Jahre alte Sicherheitslücke im Linux-Kernel geschlossen

Seit 11 Jahren gibt es einen größeren Bug im Linux-Kernel, der zu einem Speicherfehler (memory-corruption) führt. Dieser Bug stellt eine größere Sicherheitslücke dar, die gerade von den wichtigsten Distributionen geschlossen wird.


Anzeige

Die Information liegt mir bereits seit ein paar Tagen vor, hier ein paar Details. Der sogenannte double-free Bug steckt im Datagram Congestion Control Protocol (DCCP) und ermöglicht einem Benutzer bzw. Angreifer, sich root-Rechte zu verschaffen.

Gefunden wurde der Fehler CVE-2017-6074 von Andrey Konovalov. Er benutzte dazu das von Google bereitgestellt syzkaller Fuzzing-Tool. Laut Konovalov gibt es den Fehler vermutlich bereits seit der Freigabe des Linux Kernel 2.6.14. Für CoreOS, RedHat, Canonical, Debian und weiteren Linux-Distributionen stehen Patches zum Schließen dieser Lücke zur Verfügung. Bei ZDNet.com findet sich dieser Beitrag zum Thema, ein paar deutschsprachige Infos sind bei heise.de zu finden.


Anzeige


Dieser Beitrag wurde unter Linux, Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.