Holdet bag Linux-kernen har udsendt en ny version, som blandt andet lukker tre sikkerhedshuller. Mens to af hullerne kun gælder nogle særlige systemkonfigurationer, så findes det tredje sikkerhedshul på alle Linux-systemer.
- Det er heldigvis en ret kompleks sårbarhed, som der ikke er mange, der kan udnytte, siger teknisk chef hos det danske sikkerhedsfirma Secunia, Thomas Kristensen.
Sikkerhedshullet betegnes som mindre kritisk, men alligevel anbefaler sikkerhedsfirmaerne, at man opdaterer sine systemer til version 2.4.25 af kernen ved at hente de opdaterede pakker fra sin Linux-distributør.
Falsk tryghed ved open source
Selv om sikkerhedshullerne ikke er nær så kritiske, som dem der for nyligt blev afsløret i Microsoft Windows, så benytter udviklingschef Alfred Huger fra sikkerhedsfirmaet Symantec lejligheden til at stille spørgsmålstegn ved sikkerheden i open source.
Fortalerne for open source hævder ofte, at koden skulle indeholde færre fejl, fordi der er mange udviklere, som ser den samme kode igennem.
- Sandheden er, at flertallet af udviklerne ikke gider se den gamle kode i gennem. Open Source er et fremragende koncept, men generelt tror jeg ikke, at det i praksis fungerer, sådan som folk gerne så det, siger Alfred Huger til nyhedstjenesten Cnet.
Eksempel får maskinen til at gå ned
Linux-distributørerne har alle udsendt opdateringer samtidig med offentliggørelsen af sikkerhedshullerne og den opdaterede kerne. Der er endnu ingen eksempler på, at hullerne har været udnyttet af hackere.
På sikkerhedsforumet Full Disclosure er der offentliggjort et eksempel på, hvordan sårbarheden kan udnyttes til at få maskinen til at gå ned. I næste uge vil der blive udsendt et eksempel på, hvordan hullet kan bruges til at eskalere rettighederne.
Men det udelukker ikke, at der inden da kan være andre, som finder ud af at udnytte sårbarheden.
- Det kræver, at man har en lokal bruger, som vil forsøge at få root-adgang, eller en person udefra, som benytter en anden sårbarhed til at få almindelig adgang og derfra vil eskalere sine rettigheder, siger Thomas Kristensen fra Secunia.
Ligesom det var tilfældet, da Linux-holdet udsendte en opdatering i januar, så ligger hullet i funktionskaldet mremap().
De to øvrige sikkerhedshuller findes i den del af kernen, som bruges til at tilføje (mounte) delte Novell Netware-netværksressourcer, samt en USB-driver.
Artikler på Computerworld Online Sikkerhed
Linux Kernel "mremap()" rettighedseskalering
