Schwachstellen im Linux-Kernel
Mehrere Schwachstellen im Linux-Kernel führen unter bestimmten Umständen zum Absturz des Systems. Zudem erhalten Nutzerprozesse infolge eines Fehlers im Linux Security Modul Root-Rechte.
Mehrere Schwachstellen im Linux-Kernel führen unter bestimmten Umständen zum Absturz des Systems. Schuld sind nach Angaben von Georgi Guninski Fehler in den Funktionen ip_options_get() und vc_resize(), mit denen angemeldete Anwender Integer Overflows provozieren können. Guninski hat seinem Advisory einen Proof-of-Concept-Exploit beigefügt. Betroffen sind die Versionen von 2.6 bis einschließlich 2.6.9 sowie 2.4 bis einschließlich 2.4.28. Die Fehler sind in 2.6.10 und den Pre-Releases der Version 2.4.29 behoben.
Ein weiteres Problem hat sich im Linux Security Module (LSM) aufgetan. Ist das POSIX-Capability-LSM-Modul nicht in den Kernel einkompiliert, so erhalten Nutzerprozesse Root-Rechte, wenn der Kernel das Modul zur Laufzeit nachlädt. LSM wird erst seit Version 2.6 unterstützt und dient zur Definition der Zugriffsrechte einzelner Prozesse. Abhilfe schafft derzeit nur, das Modul fest in den Kernel einzubauen.
Siehe dazu auch: (dab)
- Fun with the linux kernel (2.6,2.4) von Georgi Guninski
- Linux 2.6 Kernel Capability LSM Module Local Privilege Elevation von xfocus
