Login
Newsletter
Werbung

Thema: Sicherheitslücken im Debian- Kernel geschlossen

48 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von anon am Mi, 9. Mai 2018 um 11:19 #

Hmm, also gestern wurde kein neuer Kernel veröffentlicht. Und die letzten Kernel-bezogenen DSA-4187-1 und DSA-4188-1 sagen nichts von CVE-2018-8897 oder CVE-2018-1087.

Außerdem ist die Lücke in MMAP und nicht in nmap. :-)

  • 1
    Von anon am Fr, 11. Mai 2018 um 09:43 #

    Ich nehme alles zurück! Prolinux war schneller als das Debian Announcement auf deren Webseite :-)

1
Von Anonymous am Mi, 9. Mai 2018 um 11:20 #

Soll das jetzt heißen, diese Lücken gibt es im Linux-Kernel nicht und sie wurden von Debian hineingepatched? Wenn man halt auf einen uralt Kernel setzt und meint, da alles rückportieren zu müssen. Gerade in Bezug auf Spectre und Meltdown ist mit alten Kerneln und Compilern kein Blumentopf zu gewinnen. Alles was da rückportiert wurde, ist nur eine Teillösung. Und dann bbaut man im Zuge dieser Wurschtelei auch noch Sicherheitslücken ein, die es ohne diese Wurschrtelei nie gegeben hat.

  • 1
    Von anon am Mi, 9. Mai 2018 um 11:31 #

    Nein, das waren keine Debian-spezifischen Bugs.

    1
    Von da-real-lala am Mi, 9. Mai 2018 um 11:36 #

    >Wenn man halt auf einen uralt Kernel setzt

    Vielleicht als Laie lieber vorsichtig sein mit solchen Äußerungen? 4.9 ist der aktuelle LTS Kernel und wird direkt von Kernel Entwicklern gepflegt. Und auch wenn er das nicht wäre, Debian hat bisher seine Kernel immer anstandslos gepflegt.

    • 1
      Von Gast am Mi, 9. Mai 2018 um 11:39 #

      Debian hat bisher seine Kernel immer anstandslos gepflegt.
      Der war gut! Toller Witz!

      1
      Von Anonymous am Mi, 9. Mai 2018 um 11:44 #

      Nein, der aktuell LTS-Kernel ist 4.14. Und der wird auch noch halbwegs in Bezug auf Spectre und Meltdown gepflegt. Alles, was mit 4.9 zu tun hat ist gefrickel, das Ergebnis siehst du doch gerade.

      • 1
        Von Nein. am Mi, 9. Mai 2018 um 12:46 #

        Genau, darum ist der auf kernel.org auch als "longterm" gekennzeichnet. Weil er gar kein longterm ist.
        Ist bestimmt nur ein Trick von diesen Debiananern.

        1
        Von who knows am Mi, 9. Mai 2018 um 18:30 #

        Definiere aktuell.

        Aktuell im Sinne von „neue Hardware oder Features“ ist keiner der als „longterm“ gelisteten Kernel, denn vor der Veröffentlichung des ersten der zugehörigen Releasekandidaten gibt es einen „Featurefreeze“.
        Aktuell im Sinne von „aktueller Patchstatus“ gilt für alle als „longterm“ bezeichneten Kernelserien. Sicherheitslücken, die in der neuesten Entwicklerversion behoben wurden, werden in allen ebenfalls betroffenen longterm releases gefixt. Aber auch der umgekehrte Weg ist möglich. Fehler, die in einer frühen Kernelversion gefunden werden, werden natürlich auch in den jüngeren Varianten behoben, sofern diese davon betroffen sind. Wenn man allerdings auf Pressemitteilungen und Medienrummel wartet, anstatt sich zu informieren, so kann durchaus der Eindruck entstehen, dem sei nicht so. Das verdanken wir wohl dem Umstand, dass die zahlreich aktiven Marketingäffchen es geschafft haben, dem gemeinen Verbraucher einzureden, die Begriffe „neu“, „modern“ und „gut“ seien Synonyme. Klar, das ist ihr Job, davon leben sie. Wer aber es vorzieht sich selbst zu informieren, dem empfehle ich gelegentlich einen Blick in die Changelogs zu werfen.

        who knows

        • 1
          Von da-real-lala am Do, 10. Mai 2018 um 15:49 #

          >Aktuell im Sinne von „neue Hardware oder Features“ ist keiner der als „longterm“ gelisteten Kernel

          Genau. Dann ist man aber bei Debian eh falsch. Lieber Arch oder so?

          • 1
            Von who knows am Fr, 11. Mai 2018 um 17:04 #

            Zunächst möchte ich Dir empfehlen, Zitate nicht sinnentstellend zu verkürzen. Das machen nur Trolle.

            Ein „neuer“ Kernel ist nur dann notwendig, wenn man Unterstützung für neueste Hardware benötigt. Das ist im Serverumfeld eher die Ausnahme, als die Regel. Aber auch auf dem Desktop ist die Entwicklung hier nicht so schnell, wie man glauben mag. Das könnte auch an der Geschwindigkeit liegen, mit der Microsoft bei der Entwicklung im Umfeld neuer Technologien hinterherhinkt. Beispiele: USB, USB2, USB3, SATA, ...
            Aber um wieder zum Thema zurück zu kommen: Auch bei Debian kann man im Zweifelsfalle einen neueren Kernel installieren, der dann aber naturgemäß nicht im gleichen Umfang auf der Distribution getestet wurde.
            Die meisten größeren Distributionen patchen ihre Kernel, so dass auch dort bei Bedarf neuere Features verfügbar werden, ohne dass gleich auf ein neueres Release umgestellt werden muss. Hauptgrund hierfür dürfte der hohe Anspruch an die Stabilität im Serverumfeld sein, denn wird die neue Funktionalität nicht benötigt, so wird auch das zugehörige Kernelmodul nicht geladen. Das verringert den obligatorischen Testaufwand drastisch.

            who knows

            • 1
              Von da-real-lala am Sa, 12. Mai 2018 um 20:44 #

              Ich habe mit keiner vorherigen Aussage dem widersprochen, was du hier gesagt hast, also verstehe ich die Überreaktion nicht. Der eine braucht's, der andere nicht. Der eine nutzt ne Rolling Release Distro, der andere Debian. Ich habe keineswegs den Sinn entstellen wollen, ich frage mich nur, warum jedes Mal wenn hier ein Artikel über Debian kommt, gewisse Menschen ständig drauf rumreiten müssen, dass Debian nicht aktuell genug ist. Mit dem selbenn Energieaufwand hätte man bisher 20 neue Programme schreiben können. Die meisten Linux Benutzer haben nicht den nächsten heißen Scheiß von Intel und brauchen demnach auch nicht ständig neue frischgebackene Kernel.

              1
              Von da-real-lala am Sa, 12. Mai 2018 um 20:44 #

              Ich habe mit keiner vorherigen Aussage dem widersprochen, was du hier gesagt hast, also verstehe ich die Überreaktion nicht. Der eine braucht's, der andere nicht. Der eine nutzt ne Rolling Release Distro, der andere Debian. Ich habe keineswegs den Sinn entstellen wollen, ich frage mich nur, warum jedes Mal wenn hier ein Artikel über Debian kommt, gewisse Menschen ständig drauf rumreiten müssen, dass Debian nicht aktuell genug ist. Mit dem selbenn Energieaufwand hätte man bisher 20 neue Programme schreiben können. Die meisten Linux Benutzer haben nicht den nächsten heißen Scheiß von Intel und brauchen demnach auch nicht ständig neue frischgebackene Kernel.

      0
      Von schmidicom am Di, 22. Mai 2018 um 11:25 #

      Mal davon abgesehen das 4.9 nicht wirklich der derzeit neuste verfügbare LTS-Kernel ist, verteilt Debian vom 4.9 im Moment gerade mal die Version 4.9.88.
      Im Moment wäre aber (wenn es denn unbedingt ein 4.9er sein muss) eher 4.9.101 angesagt...

      Dieser Beitrag wurde 1 mal editiert. Zuletzt am 22. Mai 2018 um 11:30.
      • 1
        Von Verfluchtnochmal_5987109 am Do, 31. Mai 2018 um 12:37 #

        Wenn man halt nicht verstanden hat wie Distributionen funktionieren.... LTS Distributionen backporten auch abseits von upstream da machst du nicht jedes mal einen kompletten rebase nur damit sich jemand wie du anhand der letzten Nummer in der Version ein zweites Arschloch freuen kann

    1
    Von asdfghjkl am Mi, 9. Mai 2018 um 11:39 #

    Was ist denn ein Debian-Kernel?
    Ein Debian-Kernel ist ein Linux-Kernel, den man aus den Debian-Repositories installieren kann.
    Soll das jetzt heißen, diese Lücken gibt es im Linux-Kernel nicht und sie wurden von Debian hineingepatched?
    Nein. Das soll heißen, die Lücken wurden erst aus dem Linux-Kernel herausgepatched und dann aus dem Linux-Kernel im Debian-Repository ebenso herausgepatched.

    1
    Von Anonymous am Mi, 9. Mai 2018 um 12:23 #

    Die kaputte IT-Branche ist so ziemlich die einzige, die es geschafft hat, sich aus jeder Verantwortung für ihre Produkte zu schleichen.

    Die "uralte" Kernel-Serie 4.9.x ist nicht mal 1 1/2 Jahre alt.

    Und bekloppte Addicts wie du halten es für völlig legitim, dass die bereits als "unwartbar" gelten sollte.

    ich galube, ich bin inzwischen einfach zu alt für den ganzen Scheiss.

    1
    Von pointer am Do, 10. Mai 2018 um 15:45 #

    Zur Unterscheidung der verschiedenen Kernel: https://www.kernel.org/category/releases.html

    >Gerade in Bezug auf Spectre und Meltdown ist mit alten Kerneln und Compilern kein Blumentopf zu gewinnen. Alles was da...

    Kompletter Stuss.

    Hier der Status von 4.9.99, kompiliert mit gcc 7.3 (gleiches Ergebnis mit 4.16.8):

    > uname -r
    4.9.99-1.g8038aea-desktop
    > grep . /sys/devices/system/cpu/vulnerabilities/*
    /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
    /sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
    /sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline

    Dieser Beitrag wurde 1 mal editiert. Zuletzt am 10. Mai 2018 um 15:53.
    • 1
      Von da-real-lala am Do, 10. Mai 2018 um 15:58 #

      Danke dir. Das wird aber leider wieder untergehen und bei der nächsten Meldung dieser Art werden wir das selbe Spiel wieder hier erleben: Rolling Release Distro Fanboys werden wieder wutbürgerähnliche Untergangsszenarien über „uralte“ Kernel herbeischwören, die gerade mal 1 Jahr alt sind und immer noch von den Kernelentwicklern, sowie auch vom Debian Security Team unterstützt werden. Dann werden wieder Meltdown und Spectre rausgeholt, als würden sie täglich tausende Rechner lahmlegen und es wird wieder der Anschein erweckt, dass in den neueren Kerneln minütlich gegen diese 2 schlimmen Behemothe gepatcht wird und man nur mit Arch oder Gentoo noch sicher Linux nutzen kann. Und diese Argumente a la „hoffnungslos veraltet“ höre ich mir über Debian seit Sarge an. Jeder Mensch braucht demnach Software, die höchstens 3 min alt ist, sonst bleibt der Rechner unbenutzbar.

      • 1
        Von pointer am Do, 10. Mai 2018 um 20:36 #

        Mir ging's darum, offensichtlichem Unfug mit verifizierbaren Informationen zu begegnen, damit kein falscher Eindruck entsteht.

        Die Longterm-Kernel sind eine feine Sache. Und wenn man sieht, wie zeitnah wichtige patches/backports integriert werden, ist das schon sehr beeindruckend (und beruhigend).

        Übrigens: Rückblickend ist es imo sagenhaft, wie schnell die Linux-kernel-devs Lösungen für den Meltdown/Spectre-GAU bereitgestellt hatten. Das war ja nicht gerade eine Kleinigkeit.

        1
        Von ____# am Fr, 11. Mai 2018 um 09:33 #

        Rolling Release ist das einzig wahre. Allerdings sind die meisten Benutzer nicht konsequent und wenden das nicht auf Hardware an. Ich kaufe mir jetzt jeden Monat ein neues Teil für meinen Computer. Im Juni ist eine neue Grafikkarte fällig. Morgen wird der Arbeitsspeicher gewechselt!

0
Von Tho am Mi, 23. Mai 2018 um 19:43 #

Heilfroh, dass es Debian gibt. Arbeite in einer Softwareschmiede in der wir einmal pro Tag eine neue Software auf den Markt werfen. Als Servicetechniker muss ich die Minuten alte nahezu ungetestete Software dem Kunden aufspielen und erlebe einmal die Woche eine neue unangenehme Überraschung. Es gibt kaum eine bessere Strategie um seine Kunden loszuwerden. Immerhin läuft auf meinem Arbeitslaptop verlässlich ein herrlich stabiles Debian. Absolute Liebe für dieses Betriebssystem, an das ich nicht einen Gedanken verschwenden muss, weil es einfach das tut, was es soll. Habe sogar unattended Upgrades für das gesamte Repo aktiv und es seit 10 Jahren nicht einmal bereut. So kann ich mich voll und ganz auf unsere täglichen betrieblichen Updates konzentrieren. Ach, und besten Dank an alle Rolling Release Nutzer für das frühe Testen. Ich profitiere in zwei Jahren davon :D

Pro-Linux
Unterstützer werden
Neue Nachrichten
Werbung