10 Jahre alte kritische Lücke in Linux-Kernel-Kryptofunktion entdeckt

[guest25]

Glücklicherweise ist der Use-After-Free-Fehler erst seit Kernel-Version 4.10 angreifbar.

Ein Programmierfehler in der Userspace-Krypto-API des Linux-Kernels kann von Angreifern dazu missbraucht werden, Root-Rechte auf einem Zielsystem zu erlangen. Schlimmer noch, mehrere Beobachter aus der Kernel-Sicherheitsszene vermuten außerdem, dass der Use-After-Free-Speicherfehler auch zum Ausführen von beliebigem Schadcode durch den Angreifer genutzt werden könnte. Aus diesem Grund wird die Sicherheitslücke (CVE-2019-8912) in der Sicherheitslückendatenbank der US-Behörde NIST (National Institute of Science and Technology) mit einer Gefahrenstufe von 9,8 von 10 möglichen Punkten geführt – es handelt sich also um eine kritische Lücke.

https://www.heise.de/security/meldung/10-Jahre-alte-kritische-Luecke-in-Linux-Kernel-Kryptofunktion-entdeckt-4315290.html

[guest10]

"Beobachter aus der Kernel-Sicherheitsszene vermuten ..."

https://www.heise.de/security/meldung/10-Jahre-alte-kritische-Luecke-in-Linux-Kernel-Kryptofunktion-entdeckt-4315290.html

Beobachter, Analüsten und anderes Pack:

Volker Pispers - Berufsgruppen die diese Welt nicht braucht - YouTube

MfG

[guest62]

Genau,

eine Sauerei, das seit längerem Linux-bugs sofort veröffentlicht werden
und bei M$ und co *mindestens 90 Tage gewartet wird.

Aber bei Debian Stretch habe ich schon ein Kernel-Update bekommen.

mfg