>Betroffen ist neben Kernel Version 2.2 und 2.4 auch der erst vor kurzem freigegebene Kernel 2.6.
Der 2.2er Kernel ist nicht betroffen! Siehe LKML "mremap() bug indeed not in 2.2 (confirmed)"
> Die Kernel-Entwickler arbeiten bereits an einem Patch.
Das haben sie seit mind. 12. Dezember 2003 getan. (Der Patch ist übrigens keine 17 Zeilen lang) Dann haben sich die großen Linux Firmen darauf geeinigt, den Bug bis zum 5.1.04 zu verheimlichen. Linus Torvalds hat laut eigenem Posting auf der Kernel Mailingliste auch erst aus den Nachrichten darüber erfahren. Suse hat jedoch z.B. den neuen Kernel für Ssue 8.2 schon am 8.12.03 fertig gehabt.
Ob zwischen Anfang Dezember und 5.1.04 Cracker von der Sicherheitslücke erfahren oder diese unabhängig entdeckt haben, werden erst die nächsten Wochen zeigen.
Ein zentrales Verwaltungssystem von Bugs und Sicherheitslücken, wie es Gnome, kde, Mozilla, Openoffice,... haben, sind die Kernelentwickler leider noch weit entfernt. Immerhin haben sie gestern herausgefunden, daß Kernel 2.2 doch nicht anfällig ist.
Auf www.kernel.org steht übrigens kein Hinweis auf die Sicherheitslücke und es wird weiterhin fröhlich Kernel 2.6.0 (inkl. Sicherheitslücke) als "latest stable version of the Linux kernel" zum Download angepriesen.
Aber immerhin ist ein Monat von Entdeckung bis zur Erhältlichkeit von Updates eine Verbesserung gegenüber manch einer früheren Kernel Sicherheitslücke.
Der 2.2er Kernel ist nicht betroffen!
Siehe LKML "mremap() bug indeed not in 2.2 (confirmed)"
> Die Kernel-Entwickler arbeiten bereits an einem Patch.
Das haben sie seit mind. 12. Dezember 2003 getan. (Der Patch ist übrigens keine 17 Zeilen lang) Dann haben sich die großen Linux Firmen darauf geeinigt, den Bug bis zum 5.1.04 zu verheimlichen. Linus Torvalds hat laut eigenem Posting auf der Kernel Mailingliste auch erst aus den Nachrichten darüber erfahren. Suse hat jedoch z.B. den neuen Kernel für Ssue 8.2 schon am 8.12.03 fertig gehabt.
Ob zwischen Anfang Dezember und 5.1.04 Cracker von der Sicherheitslücke erfahren oder diese unabhängig entdeckt haben, werden erst die nächsten Wochen zeigen.
Ein zentrales Verwaltungssystem von Bugs und Sicherheitslücken, wie es Gnome, kde, Mozilla, Openoffice,... haben, sind die Kernelentwickler leider noch weit entfernt.
Immerhin haben sie gestern herausgefunden, daß Kernel 2.2 doch nicht anfällig ist.
Auf www.kernel.org steht übrigens kein Hinweis auf die Sicherheitslücke und es wird weiterhin fröhlich Kernel 2.6.0 (inkl. Sicherheitslücke) als "latest stable version of the Linux kernel" zum Download angepriesen.
Aber immerhin ist ein Monat von Entdeckung bis zur Erhältlichkeit von Updates eine Verbesserung gegenüber manch einer früheren Kernel Sicherheitslücke.