Copy Fail, Schwachstelle im Linux-Kernel

Glücklicher Weise ist es eine lokale und keine Remote-Schnittstelle. Das macht es nicht ganz soo schlimm.
 
Bei Containern soll es ein Problem sein, da diese "ausbrechen" könnten, gerade wenn selbig an andere Personen vergeben sind.
 
Guten Abend!
Ich erlaube mir mal, die selbstverständlich völlig unmaßgebliche Meinung eines Neulings :) zu diesem Thema zu posten:
  1. Meinen ehrlichen Dank an @Becker2020. Ich finde es wirklich gut, dass du die hier anwesenden User informiert hast! Das ist wirklich notwendig, denn nicht alle (bzw. nur die wenigsten) informieren sich in der c't oder anderen Fachzeitschriften.
  2. Wie @Barungar und weitere hier schon gesagt haben, betrifft das "nur" Remote-Schnittstellen, also Schnittstellen, welche über Portweiterleitungen oder -Freigaben "von außen" erreichbar sind. Trotzdem sollte niemand sicher sein, dass sein Hausnetz per se sicher ist. Ein einziges schlecht konfiguriertes oder korruptes, von außen erreichbares Programm kann bereits ein Einfallstor darstellen und einen Angriff intern weiterleiten.
  3. Jeder sollte sich deswegen gründlich überlegen, ob es wirklich erforderlich (oder etwa nur bequem?) ist, irgendwelche "Serverchen" vom RasPi bis zum NAS frei erreichbar zu machen. Oder vlt. darüber nachzudenken, seine aushäusig betriebenen Geräte mit einem guten VPN-Client auszurüsten und seine Heimtechnik nur per VPN erreichbar zu machen.
  4. In voller Härte treffen allerdings derartige Sicherheitslücken die (kommerziellen) Betreiber derartiger Dienste. Da ist dann "richtig was los "! (Habe ich mal gehört ;);))
  5. Und bitte nicht vergessen, zum gegebenen Zeitpunkt auch Entwarnung zu geben. Auch sehr wichtig.
Freundliche Grüße aus der Eifel!
 
Moinsen,
tja, da kann ich mal nahezu jedem Wort zustimmen, @Der Eifelsachse :)
Ich rate auch seit Jahren schon dazu, hier nur VPN zu nutzen in der Konsequenz. Meist wird das aber als "zu kompliziert", "ist nur was für ne Firma", "öh, jedesmal erst VPN aktivieren..." quittiert. Tja. ;)

Schon vor der pfsense hier hatte ich VPN über die Fritzbox laufen. Ja, das ist zum Tunnelaufbau anfangs etwas meh weil doch ein paar Klicks / Gesten mehr...aber dann: wie oft wird das gemacht? Und mit den neueren zB Android Apps für wirguard VPN kann das sogar vollautomatisch erfolgen (ich beziehe mich hier auf die App WG Tunnel). Also auch keine Ausrede mehr...
Ja, zum Einrichten kann es in der Tat mitunter einige extra Klimmzüge erfordern, aber auch das ist keine Raketenwissenschaft (ich hab's ja auch geschafft ;)) und zB dieses Forum bietet da ja auch freundlichen Support auf Nachfrage.

Klar, 100 %ige Sicherheit gab es nie und aktuell scheint es nochmal deutlich schlimmer zu werden...aber leicht muss mensch es ja den Deppen auch nicht machen. :) Und ein eigener VPN Tunnel ins Heimnetz ist da durchaus ganz hilfreich.
 
Der Eifelsachse schrieb:
Und bitte nicht vergessen, zum gegebenen Zeitpunkt auch Entwarnung zu geben. Auch sehr wichtig.
Zum Vergrößern anklicken....
Eigentlich sollten die meisten Distros (zumindest die größeren) per Update schon gefixt sein. Sind alle Updates installiert, sollte dies eigentlich passen. Aber wie ich nun mal bin, würde ich dies eigentlich ganz gerne überprüfen, ob nun alles dicht ist. Aber wo man dies angezeigt bekommt oder was genau installiert / uptodate sein muss, habe ich so leider noch nicht herausgefunden.
 
Guten Morgen @Mavalok2,

Ich habe @Becker2020 ja bewusst gelobt - weil ich derartige Hinweise in einem Forum für sehr wichtig halte. Und deine voll berechtigte Frage zeigt noch einmal, dass es auch wichtig ist, eine Entwarnung zu geben. Nach meinem Verständnis sollte das auch möglichst derjenige tun, der zuerst die Warnung gepostet hat.
Ich habe (ich glaube, auch bei heise) gelesen, dass die meisten Distributionen schon gefixt sind. Und da ich als Rentner genügend Zeit habe und mir den Luxus gönnen kann täglich Updates zu fahren, mache ich das auch bei jedem ersten Start des Rechners (in der Zeit des Updates lese ich online die c't). So mancher mag das für übertrieben halten, aber ich betrachte das eben als wichtig. Und wenn ich dann auf der Konsole sehe, was da alles aktualisiert wird - die letzten Tage bspw. fast täglich ein neuer Kernel - dann sage ich mir, dass dieser kleine Aufwand angemessen war.
Wenn das Update durchgelaufen und nichts mehr "offen" ist, habe ich als User alles getan, was mir in dieser Hinsicht möglich und vor allem auch zumutbar ist. Und JA, ich vertraue dann auch den Entwicklern meiner Distribution.
Und dabei auch immer daran denken, dass weder du noch ich einen frei im bösen Netz stehenden Server betreiben. Unsere Angriffsfläche dürfte bei den meisten erkannten Sicherheitslücken somit auch wesentlich kleiner sein, wie @Barungar ja schon festgestellt hat.

Freundliche Grüße aus der Eifel!
 
Der Eifelsachse schrieb:
Nach meinem Verständnis sollte das auch möglichst derjenige tun, der zuerst die Warnung gepostet hat.
Ich habe (ich glaube, auch bei heise) gelesen, dass die meisten Distributionen schon gefixt sind.
Zum Vergrößern anklicken....
Bei den vielen verschiedenen Linux-Versionen aber kaum machbar.

Es gibt wohl Updates, aber ob alle Linux-Versionen diese schon nutzen ??
https://www.heise.de/news/Linux-Luecke-Copy-Fail-wird-bereits-angegriffen-11279850.html

Zudem gibt es schon wieder eine neue Lücke "Dirty Frag" in vermutlich allen Linux-Versionen.

https://www.heise.de/news/Dirty-Frag-Linux-Luecken-verschaffen-root-Rechte-11286691.html
 
Mavalok2 schrieb:
Es nimmt keine Ende:
Zum Vergrößern anklicken....
Kleine Korrektur oder besser Ergänzung:
Es gab noch nie eine "Schwachstellen-freie Zeit"!
Es wurden lediglich diese nicht so schnell oder so erfolgreich entdeckt. Und so wenig ich vom KI-Hype halte, selbige hilft wirklich beim Erkennen von Schwachstellen.
Und es hat sich in den letzten Jahren eine verbesserte Sensibilität sowohl bei den Nutzern als auch bei den Verantwortlichen entwickelt. Allerdings anscheinend noch nicht so richtig bei Politikern ("Signal-Gate") ... . (Die größte Schwachstelle ist der desinteressierte Mensch)
 
In der Tat. Aber als Benutzer und Admin gilt auch weiterhin: Updates müssen zeitnahe installiert werden. Viel mehr kann man in so einem Fall nicht tun. Und ja, es gäbe auch noch Workarounds, die aber wieder rückgängig gemacht werden müssen.
 
Dem, was du in #17 geschrieben hast, kann ich nur meine (für einen Neuling :) selbstverständlich nur unmaßgebliche) Zustimmung geben. Dem Admin ist es in der Regel untersagt, selbst nach Schwachstellen im Quellcode bzw. in ungewöhnlichen Aktionen während der Laufzeit der Programme zu suchen und eigenmächtige Änderungen vorzunehmen. Das ist i.d.R. nicht dessen Aufgabe und dafür wurde er i.d.R. auch nicht ausgebildet.
Dafür gibt es Sicherheitsforscher, das BSI und weitere spezialisierte Fachleute. Andererseits darf der IT-SiBe nicht als Admin arbeiten - auch wenn er dazu schon in der Lage wäre - denn er muss den Admin kontrollieren. Trotzdem ist eine gute Zusammenarbeit immer viel wert.

Bei den privaten Usern gibt es keine solche strikten Regeln. Ich bin ja als "IT-Rentner" schon über 10 Jahre der hiesige "Dorf-Admin" und arbeite auch schon über 25 Jahre als ehrenamtlicher Administrator (und ja, auch als etwas, was man den IT-SiBe nennen kann) in einem kleinen Büro - welches beide Funktionen eigentlich nicht haben muss. Es ist erschreckend, was ich da an Desinteresse (bei den Bewohnern und gerade an wichtigen Informationen oder überhaupt an richtigem Verhalten) - siehe #15 - erlebe. Da gibt es immer noch bei Bürgern uralte Win 7-Rechner oder selbst neuere WinDOSen, wo sämtliche Patches bewusst nicht durchgeführt werden - könnte ja was schief gehen. Der völlig Passwortlose PC sowie kaum als PW zu bezeichnende überall gleiche Zeichenketten sind etwas, was ich oft zu sehen bekomme. "Mir ist noch nie etwas passiert!" ist die beliebteste Antwort auf meine Fragen. Von IoT- Geräten, Kameras und der privaten Datensicherung usw. will ich lieber gar nicht erst anfangen.

Und dafür freue ich mich jedes mal, wenn ich aus dem Dorf oder von den Mitarbeiterinnen unseres kleinen Büros angerufen werde, und mir eine Frage gestellt wurde, weil denen etwas "wunderlich" vorkam und sie dann einfach geblockt haben. Allein das ist für mich ein großer Sieg und der Lohn für die vielen Stunden bei Mitarbeiterschulungen und in Veranstaltungen wie den "Ü-60-Treffen". Und auch so mancher Schrott-Laptop läuft jetzt noch viele Jahre unter Linux.
[Sorry, war wieder viel!]
 
Desinteresse gibt es leider nicht nur im privaten Umfeld wie bei Deinen Dorfbewohnern, sondern leider auch in vielen Firmen. Kenne ich so leider auch aus meiner Firma, von...
... wenn neue Mitarbeiter sich für Vollprofis halten, weil sie schon mal eine Grafikkarte im eigenen PC eingebaut haben und den Admins erklären wollen wie es richtig funktioniert. Aber Updates sind völlig unnötig, Herstellerpropaganda oder so...
... wenn Mitarbeiter erklären, dass sie mit diesem Techniksch**** gar nichts zu tun haben wollen, aber leider damit arbeiten müssen. Da kann man auch von großem Interesse und Wissenstand ausgehen. Von Mitarbeiten die den ganzen Tag am PC arbeiten äußerst fragwürdige Aussagen. Gut bin ich nicht Personalchef. Das wäre für mich durchaus ein Grund so einen Mitarbeiter möglichst bald zu ersetzen.
Aber ich darf nicht jammern, ist inzwischen bei mir in der Firma viel besser geworden. Nachdem es in einigen Firmen, mit denen wir zusammenarbeiten Sicherheitsvorfälle gegeben hat und unsere Mitarbeiter so auch von dessen Mitarbeiten dirket mitbekommen haben, was so etwas bedeuten kann, ist Sicherheit doch nicht mehr ganz so ein unliebsames Thema.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
8.004
Beiträge
78.750
Mitglieder
8.702
Neuestes Mitglied
Naschi1987

Teilen

Zurück
Oben