Linux 2.2/2.4: Moderate Schwachstellen im Kernel

Schon mit Kernel 2.4.19 hatten die Kernel-Entwickler, wie unlängst bekannt wurde, stillschweigend einige Vulnerabilities ausgeräumt. Die Nicht-Publikation der Fehler beruht interessanterweise nicht auf einer Security-by-Obscurity-Strategie, sondern vielmehr auf den unseligen Auswirkungen des überzogenen US-amerikanischen Digital Millenium Copyright Act (DMCA).

Die meisten Lücken residieren in Hardware-Treibern für Komponenten von US-Firmen. Die Entdecker der Sicherheitslöcher - allesamt keine US-Bürger - befürchten nun, die Untersuchung und Publikation der Vulnerabilities könnte ihnen von den USA als Straftat ausgelegt werden. So wurde der Russe Sklyarov etwa vom FBI verhaftet, nachdem er einen Vortrag über eine Schwäche des Adobe eBook gehalten hatte. Deswegen beschränkten die Entdecker die Weitergabe der genauen Natur der Kernel-Fehler per Lizenz auf Nicht-Amerikaner.

Auch zu den jetzt entdeckten Vulnerabilities fließen die Informationen nur spärlich. Zumindest ist bekannt, dass es sich um lediglich lokal ausnutzbare Schwächen handelt, welche die Vorzeichenbehandlung und das Type Casting von Variablen sowie numerische Overflows betreffen. Als gefährdete Module identifiziert das Red Hat Security Advisory RHSA-2002:206-12 die Treiber ijx (Telefoniekarte), pcilynx (Firewire) und bttv (Video-Capture-Karte).

Falls Sie eines dieser Module nutzen, sollten Sie ein Upgrade auf Linux 2.2.22 respektive einen Vendor-Kernel mit entsprechenden Patches in Erwägung ziehen. So liefert Red Hat bereits gefixte Errata-Kernel für x86 (2.4.18-17) sowie Alpha und IA64 (2.4.9-40) aus. Ein von manchen Stellen empfohlenes Update auf Linux 2.4.20 dürfte derzeit für Produktivsysteme kaum in Frage kommen: Der Kernel befindet sich noch im Pre-Release-Stadium (-pre11). (jlu)