Hallo!
Ich wollte euch mal vor einer Sicherheitslücke im Linux-Kernel warnen, durch welche ein angreifer root-rechte erlangen kann. betroffen sind laut heise alle kernel-versionen vor 2.4.20 bzw. 2.2.22. es wird empfohlen, auch wenn 2.4.20 noch nicht stable ist, ein upgrade durchzuführen.
http://www.heise.de/newsticker/data/pab-25.10.02-001/

http://cert.uni-stuttgart.de/ticker/article.php?mid=1000 <-- Finde die Adresse seriöser für solche Meldungen, da heise bei solchen Meldungen nicht immer alles wichtige reinschreibt! Die niedlichen kleinen Heisetrolle haben sich natürlich auch schon drüber hergemacht! :D

cu

Jochen

Lesen bildet halt - und das können die Linuxer irgendwie besser...

Aus dem verlinkten Dokument:


The vulnerabilities were found in the ixj telephony card driver, the pcilynx firewire driver, and the bttv video capture card driver.

Wer so einen Treiber hat sollte sich das überlegen - der Rest: vergesst es ganz schnell wieder. Ohne entsprechende Hardware verweigern die Module bereits das Laden - und ohne geladene Module leider auch keine Sicherheitslücke.... (das einzig gefährliche könnte der bttv-Treiber sein, aber der ist auch höchstens auf privaten Workstations drauf und i.d.R. nicht auf Prodiktionssystemen)

ciao

Michael, der inzwischen von den Heise-M$-Trollen megamäßig die Nase voll hat...

Also was mich an meinem Troll stört, ist, daß er immer das Brot aus dem Käfig wirft :D

DMCA... langsam wirds ätzend :(

Und wieso kann ich keine planetquake.de Smileys mehr verlinken? :D

Ich hab' mir die Mühe gemacht und versucht, die Originalmeldungen zu lesen und hab auch ein wenig in den LKML-Archiven gestöbert. So richtig kann ich die Meldung vom CERT-Stuttgart nicht nachvollziehen.

Angeblich sind Patches Ergebnis eines Kernel-Audits wohl bei Redhat, ein völlig normaler verantwortungsbewusster Vorgang. Dabei wurden Schwächen ermittelt, die einem lokalen User über ein Exploit in bestimmten Treibern Root-Rechte geben kann.
Wie war das in der Verhangenheit? Wurde in solchen Fällen sofort ein Security-Patch nebst neuen Kernel rausgebracht oder wurden die Fixes auch im Rahmen der normalen Kernelentwicklung in die nächste Version eingepflegt?

Diese DCMA-Geschichte ist ein Politikum und nichts anderes als ein Protest der Kernelentwickler gegen die Versuche OpenSource in die Illegalität zu treiben. Alan Cox hatte das mal eingeführt, um so dagegen zu protestieren.

Letzte Frage: Wer ist Cert-Stuttgart - warum fehlt die Meldung auf www.cert.org? Sind die einfach schneller oder eigenmächtiger?

Gruß vom unwissenden

Thorsten

Jo, das mit dem "Cert Stuttgart" ist schon lustig. Keine Meldung auf "www.cert.org". Aber der Kerberos-Bug ist da aufgeführt. Eben der Kommentar im Heise-Forum ist auch spaßig:


Marc-Christian Petersen schreibt:
"mir geht da echt der Hut hoch, wenn ich sowas lese/höre."
"Ich bin der Maintainer von WOLK und ich habe diesen Bugfix im Kernel seit dem 29. April 2002, weil dort auf der LKML der Fix für geposted wurde. Wenn ich mich recht erinnere wurde auch ausgiebig auf der ML darüber gesprochen."

Da wollte ein Heise-Redakteur wohl mal einen Freitagsflame anzetteln. Denen gingen die einseitigen Freitags-Flames auf Kosten von Windows auf die Nerven :D

ciao

Michael

>Jo, das mit dem "Cert Stuttgart" ist schon lustig.

Warum?

>Keine Meldung auf "www.cert.org".
Ja und?

Hier mal folgende Zitate der Webseite:

Mission
Der RUS-CERT-Ticker richtet sich an DV-Administratoren an der Universität Stuttgart und im BelWü. Die Auswahl der Artikel orientiert sich an den Bedürfnissen der Universität Stuttgart. Auch Nichtmitglieder können den Ticker abonnieren.

und:

Das Rechenzentrum Universität Stuttgart Computer Emergency Response Team (RUS-CERT) ist für die Rechner- und Netzsicherheit an der Universität Stuttgart zuständig.


>Da wollte ein Heise-Redakteur wohl mal einen Freitagsflame anzetteln.
Wohl kaum. Er wird wohl schlicht und ergreifend die cert-stuttgart Mailingliste abonniert haben.


@schneebeck
Sie sind schlicht und ergreifend unabhängig.
Cert steht ja nur für Computer Emergency Response Team.

HTH

Ach, wenn diese Liste ausschließlich für die Uni Stuttgart interessant ist - warum dann die Meldung bei Heise? Und warum das ohne sich bei anderen Quellen über dieses Thema zu informieren und abzuprüfen was das nun wirklich auf sich hat? Das spricht nicht gerade für die Seriösität! Und dann die Empfehlung für einen defekten bttv-Treiber auf den Produktivsystemen ein Update auf einen pre11-Kernel zu machen. Also bitte, das kann doch kaum eine ernsthafte Meldung sein!

Michael

@Hackthor
>Ach, wenn diese Liste ausschließlich für die Uni Stuttgart interessant ist
aarrrggghhh. Nein, diese Liste ist nicht ausschließlich für Uni Stuttgart interessant.

>Und dann die Empfehlung für einen defekten bttv-Treiber auf den Produktivsystemen ein Update auf einen pre11-Kernel zu machen.
oh mann.
1tens ist das nicht der einzig defekte Treiber
2tens werden diese Treiber durch die Distribution installiert.
3tens (der interessante Part zumindest für mich): Einfallstor
lokaler Account, zumindest die Möglichkeit, Dateien in /proc auszulesen

>Also bitte, das kann doch kaum eine ernsthafte Meldung sein!
Natürlich ist es das.

PS: denken bildet auch *SCNR*

PS: vielleicht solltest du dir auch zumindest eine Security-Mailingliste abonnieren.

Bleibt meine Frage:

Aus der Vergangenheit heraus, ist eine solche Meldung in dieser Art üblich? Sollte Marcello morgen einen adhoc-2.4.20 freigeben oder sind die Ergebnisse und Umsetzung eines Kernel-Audits Teil des normalen Entwicklungsprozesses?

Mir erscheint die Art der Veröffentlichung irgendwie wichtigmachend. Normalerweise sind solche Meldungen besser dokumentiert. Die Aussage, dass es keine Info darüber gibt, finde ich auch ein wenig arm.

Wenn jemand sagt, dass ich da falsch liege: akzeptiert ;-)

Die Meldung wird bestimmt gerne bei Micro$oftschen Leuten gesehen :D

Ach ja?

Der RUS-CERT-Ticker richtet sich an DV-Administratoren an der Universität Stuttgart und im BelWü. Die Auswahl der Artikel orientiert sich an den Bedürfnissen der Universität Stuttgart.

Warum sollte ich als "Joe User" mir diesen Ticker ansehen? Dann doch lieber die Security-Listen der Distributoren. Die orientieren sich an "Joe User"....

Und von wegen "oh mann" - welche Treiber sind denn noch betroffen? Komplette Liste bitte!

Zudem bringt es verdammt wenig wenn der Treiber auf der Platte liegt, er muß auch geladen sein um Unheil anzurichten! Und wenn keine entsprechende Karte im System ist geht das nicht!

Lokale Root-Exploits sind (leider) alles andere als sehr selten, diese Möglichkeit ist nur eine von vielen. Warnen ist ja ok, aber nicht so reißerisch. Leider häufen sich diese inhaltlich sehr flachen Meldungen bei Heise, was immer wieder zu den (von mir vorgeworfenen) Flamewars führt und eine Diskussion in den Foren unmöglich macht. Was ist daran so schlimm diese "Schwachstelle" bei anderen zu verifizieren? Und dieses dann in dem Artikel verständlich zu erklären (eben daß nur ein paar Module das Problem haben)? Statt dessen heißt es sinngemäß "Linux ist total unsicher - bitte macht sofort ein Update auf einen pre-Kernel". Von "Sie können den Kernel mit einem billigen Patch + kompilieren sichern oder auf folgende Module verzichten:...." war da keine Spur. Und um nichts anderes ging mein Vorwurf!

Michael, der das "denken bildet" ohne Probleme zurückgibt

>Warum sollte ich als "Joe User" mir diesen Ticker ansehen?

Wenn Joe User verschiedene Linux-Distributionen einsetzt, ist er mit einer unabhängigen Security-Liste IMO besser bedient, denn damit bekommt er sicherheitslücken nur einmal gemeldet. Zudem erhält er die Meldungen über alle Sicherheitslücken "aller" dazugehörigen Programme.

Nachteil, diese Liste wird i.d.R. aufbereitet weshalb sie nicht ganz so aktuell ist.

>Dann doch lieber die Security-Listen der Distributoren. Die orientieren sich an "Joe User"
Das hängt von den Anforderungen ab. Joe User mit 1 Distribution fährt wahrscheinlich mit der Security-Lsite seiner Distribution am besten.

Joe User, der Red Hat, Debian und W2K einsetzt kann wird sich nicht unbedingt auf RH,Debian und MS Liste setzen, sondern auf eine "übergeordnete" Liste ala CERT, etc.

>Und von wegen "oh mann" - welche Treiber sind denn noch betroffen? Komplette Liste bitte!
Du hast doch den Link selbst gelesen:
The vulnerabilities were found in the ixj telephony card driver, the pcilynx firewire driver, and the bttv video capture card driver. (Im Changelog steht auch, dass ein Security fix für den e100 eingespielt wurde).

Was ich in dem Zusammenhang auch noch interessant fand war:
Denial of Service, local root compromise
und
Diese Sicherheitslücken erfordern allesamt einen lokalen Zugriff (in einigen Fällen genügt jedoch Lesezugriff auf Dateien in /proc)

In welchen Fällen das nun konkret Probleme verursacht wurde nicht beschrieben (auch nicht im RH original), allerdings besteht für mich momentan auch keine Notwendigkeit das genauer zu überprüfen. Du wirst dehalb verstehen, dass ich das ohne weitergehende Informationen die angaben vom CERT glaube (Gefahrenpotential hoch,...)
Red Hat liefert keine Einstufung des Gefahrenpotentials. Naja ich hab das Gefahrenpotential anhand der Angaben aber auf folgendes Einstufen müssen (gilt nur für mich): low

Heise hat lediglich den CERT Ticker veröffentlicht. Zudem handelt es sich um einen Newsticker und nicht um Informationen in Depth.

Dieses dämliche DMCA sch*** ärgert mich langsam aber sicher maßlos. Meiner Meinung nach sollte Sicherheitslücken komplett offengelegt werden (detailierte Beschreibung mit Beispiel exploit). Aber das ist ein sehr kontroverses Thema.

Falls du zu genaueren Angaben über diesen Fehler kommst, würd mich auch interessieren. Die Sec-Mailinglisten, die ich "auf die schnelle" überprüft haben geben alle keinen genauen Hinweis auf die Fehler und wie diese auszunutzen seien.