Montag, 11. Februar 2008, 10:37
Bug (root-Exploit) in der 2.6er Reihe vom Kernel bis einschließlich 2.6.24.1
Es gibt einen nicht zu unterschätzenden Bug in der 2.6er Reihe des Kernels bis einschließlich 2.6.24.1:
http://bugzilla.kernel.org/show_bug.cgi?id=9924
http://lkml.org/lkml/2008/2/10/8
Das Gefährliche: Es kann dadurch zu einem root-Exploit bekommen, besonders "unschön", weil das jeder Benutzer mit Shell-Zugriff erwirken kann. Es ist daher besonders wichtig, den Kernel zu patchen oder auf 2.6.24.2 zu aktualisieren.
Wir haben unsere Installations- und Rettungs-System-Images bereits angepasst. Wer möchte, kann sich unseren Kernel herunterladen:
Und ja, die GPLv2 ist dieses Mal direkt dabei!
Nachtrag
Unseren Kunden haben wir ein Mailing dazu geschickt.
Das Gefährliche: Es kann dadurch zu einem root-Exploit bekommen, besonders "unschön", weil das jeder Benutzer mit Shell-Zugriff erwirken kann. Es ist daher besonders wichtig, den Kernel zu patchen oder auf 2.6.24.2 zu aktualisieren.
Wir haben unsere Installations- und Rettungs-System-Images bereits angepasst. Wer möchte, kann sich unseren Kernel herunterladen:
rootserver-kernel-x86-2.6.24.2.tar.gzAchtung: Dies ist kein offizielles Angebot von uns, der Download ist ohne jegliche Haftung, ohne Gewährleistung und ohne Unterstützung/Support! Wer mit dem Inhalt nicht klarkommt, sollte es lassen, ihn zu verwenden
rootserver-kernel-amd64-2.6.24.2.tar.gz
Und ja, die GPLv2 ist dieses Mal direkt dabei!
Nachtrag
Unseren Kunden haben wir ein Mailing dazu geschickt.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Markus Hagge
Hans
Manuel Schmitt (manitu)
Ich bin der Meinung, wer PHP oder CGIs verwendet, sollte wissen, was er da tut. Ein tmp-Filesystem mit "nicht ausführbar" wäre ja schon ein Ansatz
oguz
Jeder der "weil das jeder Benutzer mit Shell-Zugriff erwirken kann" liest, wird auch selber weiterdenken können. Wer es nicht kann und Admin spielt, sollte sich ein anderes Spiel suchen!
Eine derartige Meldung ist mehr als nett und muss sicherlich NICHT weitergekaut werden.
Immer schön versuchen alles ins negative zu ziehen...
Anonym
Du würdest Dich wundern, was für Leute Rootserver mieten. Und wenn solche Systeme übernommen werden und mit Zombies für Spamversand und DoS bespielt werden, dann sind sie nicht nur eine Gefahr für den Mieter sondern für die Allgemeinheit. Und deswegen ist es dringend nötig auch Idioten darauf zu stoßen, daß sie die Systeme updaten sollten, für deren Administration sie zu blöd sind.
Jan
Selbst kompilieren ist mir (nach verschiedenen Fehlschlägen in der Vergangenheit) zu riskant.
Irgendwelche Ideen?
Bastian Blank
Jan
Bydel
Also solche Services sind recht einmalig, andere Rechenzentren sind häufig der Auffassung das ein root-server kunde sich gefälligst auch selbst um Kernel.org-liste kümmern muss.
Marcel
mensch
Erwin
mensch
Marki
Macht man dort auf Lücken aufmerksam, wird man zum Vorstandsvorsitzenden oder so
Hier kommt jeder gleich mit Anwalt, Anzeige, Gericht, Knast usw.
Wenn jetzt ein neuer Kernel installiert wurde, musste eh gebootet werden, also wo ist der Stress. Er hat's nun wirklich nicht bös gemeint und das Resultat ist für jedermann mehr als befriedigend.
So und jetzt warte ich auf die Flames