Schwachstellen in Linux-Kernel

[Tec]

Das CERT Stuttgart warnt vor Sicherheitslücken in aktuellen Kernel-Versionen von Linux, durch die lokale Nutzer Root-Rechte erlangen können. Betroffen sind laut CERT alle Kernel vor den Versionen 2.2.22 und 2.4.20.

Laut CERT wurden im Kernel 2.4.19 stillschweigend einige dieser Fehler behoben, dennoch sei für diesen Kernel noch ein zusätzlicher Patch erforderlich, der in der Datei kernel-2.4.19-sec bei The Free World's Information and Software Repository erhältlich ist. Zu der ungewöhnlichen Vorgehensweise über freeworld.net merkt das CERT an, dass auf Grund der Problematik mit dem US-Copyright-Gesetz DMCA "US-Amerikanern Details zu diesen Schwachstellen offenbar nicht zugänglich gemacht werden können"; daher seien auch "öffentlich verfügbare Details etwas rar".

Neben der Möglichkeit, lokal Root-Rechte zu erlangen, seien auch Denial-of-Service-Angriffe und das Auslesen des /proc-Verzeichnisses möglich. Das CERT Stuttgart empfiehlt in einem Advisory, das System auf Kernel 2.2.22 beziehungsweise 2.4.20 zu aktualisieren. Vom Kernel 2.4.20 gibt es auf dem Linux-Kernel-Archiv allerdings bislang lediglich die Version pre11. Dazu merkt das CERT, ebenfalls unter Bezugnahme auf den DMCA, an: "Da die stillschweigende Korrektur und verzögerte Bekanntgabe von Sicherheitsproblemen in Linux mittlerweile regelmäßig vorkommt, sollte versucht werden, möglichst aktuelle Kernel-Versionen zu verwenden, auch wenn dies natürlich mit Risiken für den Produktionsbetrieb verbunden ist." Ein ähnlich stillschweigendes Vorgehen brachte übrigens Microsoft schon heftige Kritik ein.

Anmerkung:
Der DMCA bezieht sich nur auf die USA, aber mit der neuen EU-Richtlinie EUCD stehen wir vor ähnlichen Problemen innerhalb der EU.

DMCA
BugTraq (interessant sind dort die Meldungen: msg00256 und msg00257 (RedHat)).

 

[Tec]

zusätzliche Infos dazu

Hab noch einen interessanten Text dazu gefunden:


Immer öfter fallen Schatten amerikanischer Gesetze auf OpenSource-Anwendungen und Distributionen aus Asien, Europa, und weiteren Teilen der Welt - mit immer unkalkulierbaren Risiken.

Es dürfte wohl hinlänglich als Irrglaube bekannt sein, dass keine Anwendung wirklich sicher ist und keine Applikation fehlerfrei arbeitet. Selbst Mammut-Projekte wie die Ariane mussten bereits Fehlschläge wegen Fehler im Quellcode hinnehmen. Es ist deshalb nichts ungewöhnliches, dass Bugs gefunden und behoben werden. Ungewöhnlich ist dagegen die jüngste Vorgehensweise der Kernel-Hacker.

Bereits im Kernel 2.4.19 wurden eine Reihe von Fehlern in Treibern für US-Geräte behoben, die stillschweigend Einzug in den Kern hielten. Die Nicht-Publikation der Fehler beruht interessanterweise nicht auf einer Security-by-Obscurity-Strategie, die bei manchen Unternehmen durchaus eine gängige Praxis darstellt und von Microsoft gefordert wird, sondern vielmehr auf den unseligen Auswirkungen des überzogenen US- amerikanischen Digital Millenium Copyright Act (DMCA).

Die Entdecker der in Hardware-Treibern für Komponenten von US-Firmen residierten Lücken befürchten nun, die Publikation und Untersuchung der Fehler könnte ihnen als Straftat ausgelegt werden. So Abwegig wie diese Aussage klingen mag, so absurd scheinen die Auswirkungen zu sein. In der Vergangenheit wurde der Russe Sklyarov vom FBI verhaftet, nachdem er einen Vortrag über eine Schwäche des Adobe eBook gehalten hatte und in die USA angereist war. Um einen ähnlichem Ärger aus dem Wege zu gehen, publiziert der Kernel-Hacker Alan Cox in seinen ChangeLog teilweise Passagen mit dem Text ?Zensiert wegen DMCA?.

Wie nun dem RUS-CERT-Ticker zu entnehmen ist, wurden weitere Fehler im Kernel gefunden, die bereits gefixt worden sind und keine Erwähnung im offiziellen Kernel-Log fanden. Folglich gibt es auch nur spärliche Informationen zur Ausnutzung und ?Arbeitsweise? dieser. Zumindest ist bekannt, dass es sich lediglich um lokal ausnutzbare Schwächen handelt, welche die Vorzeichenbehandlung und das Type Casting von Variablen, sowie numerischen Overflows betreffen. Als gefährdete Module identifiziert das Red Hat Security Advisory RHSA- 2002:206-12 die Treiber ijx (Telefoniekarte), pcilynx (Firewire) und bttv (Video-Capture-Karte).

Die stillschweigende Änderung des Kernels trägt nicht nur zur Desillusion der Anwender, sondern untergräbt ebenfalls das Prinzip der Transparenz und der Reaktion auf Fehler. Dazu merkt das CERT, unter Bezugnahme auf den DMCA, an: ?Da die stillschweigende Korrektur und verzögerte Bekanntgabe von Sicherheitsproblemen in Linux mittlerweile regelmäßig vorkommt, sollte versucht werden, möglichst aktuelle Kernel- Versionen zu verwenden, auch wenn dies natürlich mit Risiken für den Produktionsbetrieb verbunden ist.? Ein starker Tobak und nicht sonderlich dienlich dem OpenSource-Gedanken.

Gerade Freie Software beansprucht für sich transparent zu sein. Fehler werden schnell gefixt und bekannt gegeben. Doch nun scheint das Prinzip weltweit durch einen US-amerikanischen Gesetz gestört zu sein. Kaum ein Administrator wird gewillt sein bei jeder neuen Kernel-Version sein System upzudaten um prophylaktisch möglichen Fehlern vorzubeugen. Nun scheint aber das überzogene Digital Millenium Copyright Act solche Vorgehensweise gar vorzuschreiben und Auswirkungen auch auf OpenSource zu haben.