Lücke im Linux-Kernel geschlossen

Gestern Abend (22.02.2017) nach 22 Uhr wurde ein Sicherheits-Update für den Linux-Kernel auf der Debian-Sicherheits-Mailingliste veröffentlicht.

Aber so ist das eben mit der Sicherheit: dafür gibt es keine festen Arbeitszeiten, denn irgendwo auf dieser Welt arbeiten jede Menge Leute noch.

Im Falle eines Kernel-Updates sollte der betroffene Server auch neu gestartet werden, daher ist eine kleine Downtime (< 5 Minuten) leider nicht zu vermeiden. Da dieses Sicherheits-Update nicht nur ein einziges Problem behob, war es umso wichtiger, es schnell zu installieren.

Auch in Debians Security Tracker wurde der Bug mit diesem Sicherheits-Update als behoben aufgelistet.

In diesem Sicherheits-Update wurde auch ein lokal ausnutzbarer Root-Exploit gefixed (CVE-2017-6074). Das bedeutet, jemand mit einem normalen Benutzeraccount hätte sich Root-Rechte verschaffen können.
Leider wäre das auch einem potentiellen Angreifer möglich gewesen, der sich durch eine andere Lücke (z.B. in einer Webanwendung) normalen Zugriff verschafft hätte.

Also habe ich meine Kunden über die Downtime ihrer Server informiert, auf allen Servern die Updates installiert, die Server neu gestartet und somit diese potentielle Bedrohung beseitigt.

Soweit lief alles wie gewöhnlich.

Bis ich dann vorhin auf Heise vorbeischaute und fest stellte, dass dort scheinbar noch nicht angekommen war, dass Debian den Kernel schon aktualisiert hat. Bei der Menge an Informationen, welche die Redakteure dort jeden Tag sichten müssen, kann schon mal was „untergehen“.

In diesem Sinne: immer schön aktuell bleiben.