Teilweise bereinigt

Schwachstellen im Linux-Kernel 2.6.x

Im Linux-Kernel wurden drei Sicherheitslücken gemeldet. Diese lassen sich für DoS-Angriffe ausnutzen. Für zwei Lücken gibt es einen Workaround, für die andere gibt es noch keine Lösung.

Die beiden Schwachstellen, für die ein Workaround bereit steht, werden durch einen Fehler in der Funktion journal_get_superblock() in der Datei fs/jbd/journal.c and fs/jbd2/journal.c für DoS-Angriffe (Denial of Service) ausnutzen. Wenn lokale Anwender zum Beispiel ein speziell manipuliertes ext3-Dateisystem einbinden, könnte sich ein BUG_ON() auslösen lassen. Das Problem wurde im GIT-Repository bereits ausgebessert. Die Sicherheitslücken sind als nicht kritisch eingestuft: git.kernel.org

Eine weitere Sicherheitslücke bei der Behandlung von NFSv4-Anworten auf ACL-Anfragen lässt sich ebenfalls zu DoS-Angriffen ausnutzen. Ein Absturz könnte erfolgen, wenn sich ein Rechner zu einem schädlichen NFSv4-Server verbindet. Die einzige Lösung für das Problem ist derzeit, nur vertrauenswürdige NFSv4-Server zu benutzen: spinics.net (jdo)