11 Jahre alte Sicherheitslücke im Linux-Kernel geschlossen

Publiziert am 25. Februar 2017 von Günter Born

Seit 11 Jahren gibt es einen größeren Bug im Linux-Kernel, der zu einem Speicherfehler (memory-corruption) führt. Dieser Bug stellt eine größere Sicherheitslücke dar, die gerade von den wichtigsten Distributionen geschlossen wird.

Anzeige

Die Information liegt mir bereits seit ein paar Tagen vor, hier ein paar Details. Der sogenannte double-free Bug steckt im Datagram Congestion Control Protocol (DCCP) und ermöglicht einem Benutzer bzw. Angreifer, sich root-Rechte zu verschaffen.

Gefunden wurde der Fehler CVE-2017-6074 von Andrey Konovalov. Er benutzte dazu das von Google bereitgestellt syzkaller Fuzzing-Tool. Laut Konovalov gibt es den Fehler vermutlich bereits seit der Freigabe des Linux Kernel 2.6.14. Für CoreOS, RedHat, Canonical, Debian und weiteren Linux-Distributionen stehen Patches zum Schließen dieser Lücke zur Verfügung. Bei ZDNet.com findet sich dieser Beitrag zum Thema, ein paar deutschsprachige Infos sind bei heise.de zu finden.

Anzeige
Dieser Beitrag wurde unter Linux, Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.