Aktuelles
Neues rund um Linux
Kernel-Lücke blieb acht Jahre lang unentdeckt
Mitte August wurde ein Kernel-Bug bei der Initialisierung von Sockets für die Netzwerkkommunikation entdeckt, der es lokalen Angreifern erlaubte, Code mit Root-Rechten auszuführen. Das Pikante daran: Die Sicherheitslücke betraf fast alle Kernel der 2.4er- und 2.6er-Serie und bestand bereits seit 2001.
Ursache war eine Null-Pointer-Dereferenzierung, die auftrat, wenn bei der Initialisierung des Sockets eine nicht implementierte Funktion aufgerufen wurde. Über Zeiger sollten solche Anforderungen eigentlich auf eine entsprechende Handling-Routine umgebogen werden, doch lassen offenbar manche Protokolle diese Pointer uninitialisiert. Dazu zählen nach derzeitigem Kenntnisstand auf jeden Fall Appletalk, IPX, X.25, IrDA, Bluetooth, ISDN, AX25, SCTP via IPv6 und IUCV, doch könnten auch noch andere die Schwachstelle aufweisen.
Der Kernel prüft in den meisten relevanten Funktionen vor Ausführung, ob ein valider Funktionszeiger übergeben wurde. Die Routine sock_sendpage() jedoch unterließ diesen Test und akzeptierte den Null-Pointer. So konnte ein Angreifer seinen Schadcode einfach in der ersten Page übergeben und mit Root-Rechten zur Ausführung bringen. Eine solche Attacke setzt allerdings voraus, dass der Angreifer auf dem System bereits über das Recht zum Ausführen von Code als Benutzer verfügt. Remote ließ sich der Bug also nicht ausnutzen.
Nach Bekanntgabe der Sicherheitslücke gaben die Linux-Entwickler sehr schnell die Kernel-Versionen 2.6.27.30 und 2.6.30.5 frei, die den Fehler bereinigen. Auch die meisten Distributionen haben inzwischen Kernel-Aktualisierungen ausgeliefert, die den Bug nicht mehr enthalten.
Tuxera schließt ExFAT-Patentabkommen
Tuxera, das finnische Unternehmen hinter dem Open-Source-Treiber NTFS-3G, hat auf eigene Initiative ein Abkommen mit Microsoft zu ExFAT-Treibern abgeschlossen. Auf dieser Basis erhalten die Entwickler Zugang zu den technischen Daten und Test-Tools des Microsoft-eigenen ExFAT-Treibers. Tuxera (http://www.tuxera.com) will Linux-Treiber für OEMs anbieten, die ExFAT für die Flash-Speicher in zahlreichen Elektronikgeräten verwenden. Das System erlaubt Dateigrößen jenseits von 4 GByte, der Grenze für FAT32. Die SD Card Association, ein Verband der SD-Kartenunternehmen, hat das Microsoft-Dateisystem zum Standard für SDXC-Karten gewählt.
Kurz notiert
Das Programm für den ersten deutschsprachigen Open-Office-Kongress (http://www.ooodev.org/oookwv/) am 6. und 7. Oktober 2009 steht. Die kostenpflichtige Veranstaltung in Wiesbaden richtet sich an Vertreter aus Wirtschaft und Verwaltung.
Für Linux gibt es nun eine 64-Bit-Testversion des Google-Browsers Chrome, einen nativen 64-Bit-Build für Ubuntu stellt ein Personal Package Archive im Ubuntu Launchpad bereit (https://launchpad.net/~chromium-daily/+archive/ppa). Eine Windows-Version wird es erst später geben.
Die neue Version Lyx 1.6.4 (http://www.lyx.org/announce/1_6_4.txt) der auf LaTeX basierenden KDE-Textverarbeitung verbessert vor allem die Stabilität unter KDE 4.x. Die Entwickler behoben zudem weitere Fehler, die teils zu Datenverlusten führen konnten. Ein Update wird deshalb dringend empfohlen.
Mit zahlreichen Verbesserungen wartet der freie Druckserver CUPS 1.4.0 auf. Zudem umfasst das Common Unix Printing System in der neuen Version nun auch gleich das Driver Development Kit (http://www.cups.org/articles.php?L588).
Nach knapp zwei Jahren Entwicklungsarbeit haben die Entwickler die freie DTP-Software Scribus 1.3.5.1 freigegeben (http://www.scribus.net/?q=node/193). Zu den wichtigsten Neuerungen zählen die Umstellung auf Qt4 sowie so genannte Render Frames, in Scribus Markup-Sprachen wie LaTeX rendern kann.
Einem Freund empfehlen
