Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Es gibt noch keinen Patch oder CVE da es vor dem Embargo bekannt wurde.
Es ist ein "Local Privilege Escalation" wie bei Copy.fail
can obtain root privileges on major Linux distributions by chaining the xfrm-ESP Page-Cache Write vulnerability and the RxRPC Page-Cache Write vulnerability.
Der Patch wurde hier ja direkt mitgeliefert vom Melder und Finder
Jedoch ist Debian 12 wieder wie auch bei "Copy Fail" wenn einigermaßen aktuell, nicht verwundbar
Kim hat die Schwachstellen unter mehreren Distributionen erfolgreich getestet und damit root-Rechte erlangt: Ubuntu 24.04.4 (Kernel 6.17.0-23-generic), RHEL 10.1 (Kernel 6.12.0-124.49.1.el10_1.x86_64), openSUSE Tumbleweed (Kernel 7.0.2-1-default), CentOS Stream 10 (Kernel 6.12.0-224.el10.x86_64), AlmaLinux 10 (Kernel 6.12.0-124.52.3.el10_1.x86_64) sowie Fedora 44 (mit Kernel 6.19.14-300.fc44.x86_64).
Für den heimischen PC ist es in der Tat irrelevant.
Wenn man Serverbetreiber ist, sieht es unter Umständen anders aus.
Ich frag mich ja auch, warum solche (teilweise ja recht krassen) Lücken nicht schon längst gefunden worden sind.
Ich meine, Linux wird großflächig im Internet einsetzt. Branchengrößen die Google und so setzen massiv darauf. Die hätten auch die Ressourcen sich die benutzte Software mal näher anzusehen.
Am Ende hats ja dann offenbar doch jahrelang keiner gemacht.
Etwas, was man im Open-Source-Bereich leider viel zu häufig beobachtet. Das da Software intensiv von Konzernen genutzt wird und die auch Profit damit machen und durchaus auch investieren, wenn man irgendwelche Features braucht. Aber bei solchen Dingen wie Qualitätssicherung hapert es dann regelmäßig.
Weil Linux nicht nur der Kernel ist. (Und selbst der ist ja schon unüberschaubar groß.)
Das komplexe Zusammenspiel sehr vieler Software-Pakete muss erstmal jemand durchblicken, um solche exploits zu finden. Hier werden Codefunktionen die für bestimmte Zwecke genutzt werden, zusammen mit völlig anderen Codefunktionen verknüpft um Schwachstellen der Code-Basis (in diesem Fall "C") auszunutzen.
Wenn ein Programm nur 200 Zeilen hat und dabei kaum externe Bibliotheken nutzt, kann man schnell mal Lücken finden.
Aber für solche Systemweiten zusammenhänge brauchts halt etwas mehr. Entweder richtig Hirnschmalz (HeartBleed?) oder eben auch die KI-Werkzeuge die es jetzt gibt.
Erstaunlich. Wenn es eine Windows-Lücke gibt, oder wie damals beim IE, gibt es eine Meldung vom BSI, die in der Tagesschau kommt. Wenn alle Linux-Versionen von einer Sicherheitslücke betroffen sind (übrigens die dritte in den letzten 2 Wochen), passiert das nicht.
Was mich mittlerweile nervt das keine Wartezeit mehr eingeräumt wird. Nur weil es im Kernel landet heißt es noch lange nicht dass alle Distributionen schon gepatcht haben. Die großen Distributionen backen ja ihre eigenen Kernel. Das braucht einfach Zeit
Copyfail war/ ist richtig krass. Rhel hat über eine Woche gebraucht um einen Patch zu bringen.
Was mich mittlerweile nervt das keine Wartezeit mehr eingeräumt wird. Nur weil es im Kernel landet heißt es noch lange nicht dass alle Distributionen schon gepatcht haben. Die großen Distributionen backen ja ihre eigenen Kernel. Das braucht einfach Zeit [...]
Siehe den Link von @Sensei21 auf die Mailingliste.
Zitat:
Because the embargo has now been broken, no patches or CVEs exist for
these vulnerabilities. After consultation with the linux-distros@...openwall.org
maintainers, and at the maintainers' request, I am publicly releasing this
Dirty Frag document.
Naja, du schreibst ja selber, dass es in einigen deutlich älteren Kernels bereits behoben ist, da kann man ja getrost davon ausgehen, dass das in einem ziemlich aktuellen kernel ebenfalls schon drin ist.
@Habicht Die Logik ist ziemlich fehlerhaft. Nur weil die Versionsnummer höher ist, heißt das noch lange nicht, dass der Kernel neuer ist. Ja, die Codebasis ist aktueller, aber nicht unbedingt die Sicherheitspatches...
@Habicht: Ich weiß leider nicht, was du genau ausdrücken möchtest.
Es sind immer verschiedene Kernelversionen in der aktiven Pflege.
7.0.x ist der aktuelle branch. 6.18.x und 6.12.x sind LTS-Versionen. Eine gute Übersicht liefert direkt die Hauptseite des Linux Kernels: The Linux Kernel Archives
Das hier ist aber eine Kernel-Schwachstelle. Von daher ist die Verwunderung von @andy_m4 schon zu verstehen. Schließlich sind hier diverse Konzerne beteiligt, die mit Linux massiv viel Geld verdienen, aber offensichtlich kein Interesse daran haben, den Kernel sicherer zu machen.
Wann & was Linus Torvalds in den Mainline-Kernel aufnimmt und wann & was Greg Kroah-Hartman in die LTS-Kernel aufnimmt ist das eine. Entscheidend ist, wie schnell deine jeweilige Distro reagiert und ihrerseits die Patches in ihre Kernelversionen einpflegt, testet und zum upgrade freigibt.
Evil E-Lex schrieb:
Konzerne [...], die mit Linux massiv viel Geld verdienen, aber offensichtlich kein Interesse daran haben, den Kernel sicherer zu machen.
Der Patch wurde hier ja direkt mitgeliefert vom Melder und Finder
Jedoch ist Debian 12 wieder wie auch bei "Copy Fail" wenn einigermaßen aktuell, nicht verwundbar
Magst du das ausführen? Jede einigermaßen aktualisierte Distri ist doch nicht verwundbar.
yxcvb schrieb:
Erstaunlich. Wenn es eine Windows-Lücke gibt, oder wie damals beim IE, gibt es eine Meldung vom BSI, die in der Tagesschau kommt. Wenn alle Linux-Versionen von einer Sicherheitslücke betroffen sind (übrigens die dritte in den letzten 2 Wochen), passiert das nicht.
Weil die Leute die Linux einsetzen ein bewusstsein für sowas haben. Die Leute die Windows einsetzen setzten sich nicht in ihrerer Freizeit mit Sicherheitslücken auseinander.
Evil E-Lex schrieb:
Schließlich sind hier diverse Konzerne beteiligt, die mit Linux massiv viel Geld verdienen, aber offensichtlich kein Interesse daran haben, den Kernel sicherer zu machen.
Ja, schon lustig - wenn Microsoft eine Sicherheitslücke binnen 5 Tagen schließt, dann werden sie dafür gelobt, wenn es auf einem "Linux-System" 5 Tage dauert, dann werden sie dafür kritisiert.
Microsoft wird genauso emsig daran arbeiten, die Lücke im Kernel ihres Azure-Linux zu schließen.
Ergänzung ()
Es sei denn, du meintest Microslop, die Unterabteilung von Microsoft, die für das Spielzeug-Betriebssystem mit der laufenden Nummer 11 zuständig ist...
