G

10 Jahre alte kritische Lücke in Linux-Kernel-Kryptofunktion entdeckt

Begonnen von guest25, 22. Februar 2019, 02:40:49

« vorheriges - nächstes »

0 Mitglieder und 1 Gast betrachten dieses Thema.

guest25

Zitat
Glücklicherweise ist der Use-After-Free-Fehler erst seit Kernel-Version 4.10 angreifbar.

Ein Programmierfehler in der Userspace-Krypto-API des Linux-Kernels kann von Angreifern dazu missbraucht werden, Root-Rechte auf einem Zielsystem zu erlangen. Schlimmer noch, mehrere Beobachter aus der Kernel-Sicherheitsszene vermuten außerdem, dass der Use-After-Free-Speicherfehler auch zum Ausführen von beliebigem Schadcode durch den Angreifer genutzt werden könnte. Aus diesem Grund wird die Sicherheitslücke (CVE-2019-8912) in der Sicherheitslückendatenbank der US-Behörde NIST (National Institute of Science and Technology) mit einer Gefahrenstufe von 9,8 von 10 möglichen Punkten geführt – es handelt sich also um eine kritische Lücke.
https://www.heise.de/security/meldung/10-Jahre-alte-kritische-Luecke-in-Linux-Kernel-Kryptofunktion-entdeckt-4315290.html


guest62

Genau,

eine Sauerei, das seit längerem Linux-bugs sofort veröffentlicht werden
und bei M$ und co *mindestens 90 Tage gewartet wird.

Aber bei Debian Stretch habe ich schon ein Kernel-Update bekommen.

mfg