Schwerer Bug im Linux-Kernel

23. Juni 2004, 13:47
113 Postings

Rechner können durch einfaches Skript zum Absturz gebracht werden - Allerdings Shell-Account nötig

Auf der Linux Kernel Mailing Liste> wird momentan heiß über einen neuen schweren Bug im Linux Kernel diskutiert. Mittels eines einfachen Skripts können Linux-Rechner zum Absturz gebracht werden. Betroffen von diesem Problem sind beinahe alle Kernels der aktuellen 2.4.x und 2.6.x-Reihen, die veraltete 2.2.x-Reihe scheint nicht gefährdet zu sein.

Aufhängen

Der Fehler findet sich dabei in der Floating-Point-Exception, diese kann durch einen entsprechenden Befehl in eine Endlosschleife gebracht werden, die die CPU-Last auf 100 Prozent treibt und den Rechner zum einfrieren bringt. Nicht ganz so schlimm ist das Problem auf Mehrprozessor oder Hyper-Threading-Rechnern, da hier nur die CPU einfriert, die den jeweiligen Task bearbeitet.

Zugang

Zum Ausnutzen des Problems ist allerdings ein lokaler Shell-Account - oder eine andere Zugang über den Programm ausgeführt werden können wie z.B. FTP mit CGI-bin - vonnöten, um das Absturzprogramm einzuschmuggeln. Gerade Server-BetreiberInnen wird also empfohlen alle nicht hundertprozentig vertrauenswürdigen Shell-Accounts bis zum Einspielen eines neuen Kernels zu deaktivieren.

Updates

Mittlerweile bieten bereits einige Distributoren fehlerbereinigte Updates an, die dringend aufgespielt werden sollten. Auf Linux Reviews findet sich eine Liste von betroffenen und sicheren Kernel-Versionen, sowie Patches für verschiedene Kernel-Versionen, die das Problem beseitigen. (red)

  • Bild nicht mehr verfügbar
Share if you care.