[Sicherheit] Aktueller Root Exploit. Sind Distributoren zu langsam?

22/09/2010 - 11:26 von Manuel Reimer | Report spam
Hallo,

wie vermutlich die meisten schon mitbekommen haben, gab/gibt es im
Linux-Kernel vieler Distributionen eine, bzw. mehrere Lücken im 32bit
Kompatibilitàtsmodus:
http://sota.gen.nz/compat1/
http://sota.gen.nz/compat2/

Meiner Meinung nach ist das der Supergau. Als Admin eines Webservers,
auf dem auch Kunden SSH-Zugànge haben, wàre ich jetzt in einer mehr als
brenzlichen Situation. Zum einen kann man kaum schon Minuten nach dem
Bekanntwerden tàtig sein, sondern oft frühstens einige Stunden spàter,
zum anderen weiß man, selbst wenn man so schnell wie irgend möglich
tàtig war, nicht wirklich, ob nicht doch jemand einen Exploit
ausprobiert hat und mit den neu erworbenen Rechten Änderungen
durchgeführt und direkt verschleiert hat. Der Paranoide kann also
eigentlich direkt einmal den ganzen Webserver neu aufsetzen.

Besonders wundert mich in diesem Zusammenhang, wie lange die
Distributoren brauchen, um die Lücke zu patchen. Bekannt wurde die Lücke
spàtestens am 17.09.2010. Viele Distributionen haben noch garkeinen
Patch (Debian, SuSE, Slackware). Andere haben zwar einen Patch, aber
erst seit 21.09.2010 (RedHat, Gentoo), also 4 Tage nach Bekanntwerden
der Lücke. Eigentlich zu spàt, wo jegliche Sicherheit eigentlich ab
Bekanntwerden des Exploits nicht mehr vorhanden ist.

Der einzige Trost ist, dass die Patches verfügbar sind. Wer es eilig
hat, kann diese manuell anwenden, den Kernel neu bauen, installieren und
einmal durchbooten. Da bei mir alles auf 32bit làuft, konnte ich mir
diese Aktion glücklicherweise sparen...

Wie seht ihr das? Sind Distributoren zu langsam mit dem Veröffentlichen
von Sicherheitspatches für solche kritischen Lücken? Patches sind doch
verfügbar. Wer es also wirklich ernst mit Sicherheit meint, der sollte
doch in maximal einem Tag ein Update parat haben können.

Kann man gegen solche Exploits irgendwie vorsorgen? Wie sichert sich ein
Webhoster gegen sowas ab? Selbst wenn man kein SSH anbietet: Sobald CGI
möglich ist, kann man auch solche Exploits auf dem Server ausführen.

Welche Mailingliste ist empfehlenswert, um über die wichtigsten Lücken
informiert zu bleiben? Wo hàlt sich das "Grundrauschen" in Grenzen? Ich
habe über den Heise Newsticker über die Lücke erfahren.

Gruß

Manuel

XPost rüber nach dem.comp.security.misc, F'up nach
de.comp.os.unix.linux.misc

"Alle Macht geht vom Volk aus - aber wo geht sie hin?" - Bertolt Brecht
Alle wollen zurück zur Natur - aber keiner zu Fuß
Beitràge mit *X-No-Html Header* kann ich weder lesen, noch beantworten!
 

Lesen sie die antworten

#1 Henning Paul
22/09/2010 - 11:30 | Warnen spam
Manuel Reimer wrote:

Besonders wundert mich in diesem Zusammenhang, wie lange die
Distributoren brauchen, um die Lücke zu patchen. Bekannt wurde die
Lücke spàtestens am 17.09.2010. Viele Distributionen haben noch
garkeinen Patch (Debian, SuSE, Slackware). Andere haben zwar einen
Patch, aber erst seit 21.09.2010 (RedHat, Gentoo), also 4 Tage nach
Bekanntwerden der Lücke. Eigentlich zu spàt, wo jegliche Sicherheit
eigentlich ab Bekanntwerden des Exploits nicht mehr vorhanden ist.



Patches müssen erst einmal getestet werden, bevor man sie auf die
Allgemeinheit loslàsst. Ich habe meinen 2.6.32.21er Kernel
(http://download.opensuse.org/repositories/home:/hennichodernich:/backport-
stable-kernel-new/) sofort Samstag gepatcht, aber mir kann es ja auch
egal sein, wenn er dann bei anderen Leuten nicht mehr funktioniert.

Gruß
Henning

Ähnliche fragen