Sicherheitslücke im Linux-Kernel geschlossen

10. Dezember 2009, 11:41
1 Posting

System-Abstürze durch spezielle Anfragen möglich - Distributoren bringen neue Updates heraus

Eine Schwachstellen im Linux-Kernel wurde jetzt geschlossen. Dies teilten die EntwicklerInnen in einer Ausendung mit. Die sicherheitslücke ermöglichte einen Systemabsturz durch eine so genannte "Null-Pointer-Dereferenzierung".

Keine näheren Details

Laut den ersten Meldungen zur Schwachstelle lassen sich aus der Ferne im TCP/IPv4-Stack mit sehr großen Paketen Fehler in der Funktion ip_defrag() (net/ipv4/ip_fragment.c) provozieren. Unter bestimmten Umständen, die allerdings bislang nicht näher erläutert wurden, kann dies zu der erwähnten Null-Pointer-Dereferenzierung, und in weiterer Folge zum Absturz des Systems, führen.

Im Linux-Kernel 2.6.32-rc8 entdeckt

Die Schwachstelle wurde im Linux-Kernel 2.6.32-rc8 entdeckt und ist nun mehr mit der finalen Version beseitigt worden. Auch eine Sicherheitslücke im Code des Ext4-Dateisystems wurde mit der neuen Version geschlossen. Standardmäßig wird Ext4 als Dateisystem unter Ubuntu 9.10, OpenSuse 11.2 und Fedora angelegt. Die kommerziellen Linux-Systeme von Red Hat und Novell nutzen noch ext3 und sollen daher nciht betroffen sein. DIe Linux-Distributoren haben bereits entsprechende Update-Pakete bereit gestellt.(red)

Share if you care.