Ubuntu- und Kernelentwickler uneins, wie kritisch ein Dateisystem-Bug ist
Eine Schwachstelle im Linux-Kernel zeigt grundlegende Differenzen zwischen Kernel- und Distributionsentwicklern darĂĽber, wie man Dateisysteme sicher handhabt.
- Thorsten Leemhuis
Die Entwickler des Linux-Kernels haben im Juni zweimal eine CVE-Nummer für eine Schwachstelle im Dateisystemcode verworfen, obwohl diese bei Ubuntu und zahlreichen anderen Linux-Distributionen eine Rechteausweitung ermöglicht. Das CVE-System (Common Vulnerabilities and Exposures) dient dazu, weltweit eindeutige Bezeichner für Security-Probleme zu vergeben, und jede Sicherheitslücke sollte eine CVE-Nummer haben. Hinzu kommt, dass die CVE-ID ursprünglich nicht von den kernel.org-Entwicklern, sondern vom Ubuntu-Macher Canonical zugewiesen wurde, der auch einen Fix für die Schwachstelle veröffentlichte. Das führte zur Frage, ob die Kernel-Entwickler mit dem Rückruf ihre Macht missbrauchten.
Bei näherem Hinsehen zeigt sich, dass bei beiden CVE-Nummern Missgeschicke passiert sind. Zugleich wird deutlich, dass die Kernel-Entwickler die Verantwortung für eine zentrale Komfortfunktion von Linux-Distributionen ablehnen, die Linux-Anwender ständig verwenden. Aber der Reihe nach.
Anlass für die CVEs ist ein Fehler im Linux-Code des älteren Apple-Dateisystems HFS Plus. Durch ihn konnten Angreifer beim Einhängvorgang Arbeitsspeicherbereiche des Kernels modifizieren, die für sie eigentlich unerreichbar sein sollten ("Out-Of-Bounds Memory Access"), indem sie Dateisystemstrukturen gezielt korrumpierten. Der Fehler steckt seit über zwei Jahrzehnten im Linux-Code und wurde von einem auf Syzkaller aufbauenden Kernel-Fuzzing-Bot Anfang Oktober 2024 gefunden. Ein Entwickler reichte wenig später eine Korrektur ein und legte Anfang Dezember eine überarbeitete Version nach.
Das war die Leseprobe unseres heise-Plus-Artikels "Ubuntu- und Kernelentwickler uneins, wie kritisch ein Dateisystem-Bug ist". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
