Linux root-Lücke

Ich lese gerade bei Heise von einer root-Lücke in der nf_tables-Komponente von Netfilter.
Leider bin ich noch zu sehr noob, um das zu verstehen.
Mein Kernel ist Version 6.5.0-35. Muß ich was unternehmen?

Du wirst doch sicher irgendeine Distribution verwenden? Dort wirst du dann auch die benötigten Informationen bekommen.

Es geht wohl um diesen Artikel:

[…] Gepatchte Kernel seien seit Februar verfügbar, etwa für Debian (außer Buster), Fedora, Red Hat oder Ubuntu. […]

(Hervorhebung von mir)

1 „Gefällt mir“

Ja, Linux Mint - was ja im Grunde Ubuntu ist. Deshalb frage ich ja.

Na dann ist es ja seit Kernel Version 6.5.0-26.26 gefixt, wie du dem Ubuntu Advisory entnehmen kannst. Alles fein.

2 „Gefällt mir“

@Rako_Lohgar Musst nichts unternehmen. Aber du hast vergessen nach den anderen 2091 Vulnerabilitäten unter der Kategorie Linux alleine in 2024 zu fragen: https://www.cvedetails.com/vulnerability-list/vendor_id-33/Linux.html?page=1&year=2024&month=-1&order=1&trc=2092&sha=34539c1ed6ba3df72a84833e3bac6ea94fd60040 /s

Eine seltsame Bemerkung. Auf welche Art genau glaubst Du, dass sie @Rako_Lohgar helfen wird? Er hat nach genau dieser Lücke gefragt, weil er den Heise-Artikel dazu gelesen hat und deshalb verunsichert war. Ich finde seine Frage gut und berechtigt, und sie hat eine sachliche Antwort ohne merkwürdige Querverweise verdient. Eine Antwort, wie @bamf sie netterweise gegeben hat.

4 „Gefällt mir“

Warum seltsam? Ich beantworte seine Frage, ob er etwas tun muss und rücke das „sich über einzelne Vulnerabilitäten Sorgen machen, die gerade durch die Medien getrieben werden“ in ein anderes Licht. Ein bisschen Humor ist auch dabei, siehe das „/s“. Aber anscheinend reicht nicht mal mehr das explizite Auszeichnen als solchen, damit die Leute es verstehen.

Ah, das habe ich erstens übersehen und zweitens seine Bedeutung nicht gekannt, vielen Dank für den Hinweis! (Ein bisschen kleinlaut möchte ich ergänzen, dass Humor und Sarkasmus recht unterschiedliche Dinge sind.)

Ich habe Deinen ursprünglichen Beitrag dahingehend interpretiert, dass Du @Rako_Lohgar aus irgendeinem Grund irgendetwas „vorwirfst“, weil er nur nach einer von 2091 Sicherheitslücken gefragt hat.
Jetzt verstehe ich Deine Intention ein bisschen besser.

Interessanter Humor: Zweifel werden verstärkt, suchmaschinenoptimiert aufbereitet und mit einem unmerklichem Zwinker versehen.
Sozusagen für Auftraggeber / Arbeitgeber und Arbeitnehmer gleichermaßen optimiert :wink:

1 „Gefällt mir“

Danke @bamf ! Und wieder was gelernt: es gibt ein Ubuntu Advisory - geht ich doch gleich mal gucken :slight_smile:
@Chief1945 : schon klar. :wink:

Zweifel wären durchaus angebracht, z.B. an der Wahl von Linux Mint als OS.

Nicht wirklich, insbesondere nicht beim Thema Sicherheit. Ubuntu setzt stark auf Snaps, selbst im Kernel. Manche Pakete gibt es gar nicht mehr via Apt, und wenn es Pakete als Snap und via Apt gibt, ist das Apt-Paket schlechter maintained. Mint verzichtet auf Snaps und divergiert dadurch deutlich von Ubuntu. Außerdem hat man kein Ubuntu Pro, also verzichtet man auf viele Sicherheitspatches in manchen Repos z.B. im Universe Repo. Weil Mint voll von Ubuntu beim Thema Sicherheit abhängt, aber Ubuntus Weg in vielen Dingen nicht mitgeht, ist das eine ganz schlechte Kombination. Dazu verschlechtert Mint noch die Sicherheit in anderen Bereichen, z.B. durch das viel zu späte Umsteigen von X11 auf Wayland bei Cinnamon.

Moin Leute.

Wenn ihr über sowas diskutiert, seid doch bitte etwas präziser. Anstatt irgendwelche Links zu posten, wäre es sicherlich interesannt die CVE und den CVSS Score zu liefern. So kann sich dann jeder direkt auf den Weg machen und zu schauen ob seine Distri betroffen ist. Zielführender und eindeutig effizienter. :smile:

CVE: CVE-2024-1086
CVSS: NA
Ref: https://nvd.nist.gov/vuln/detail/CVE-2024-1086
Ref_2: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2024-1086
POC: https://github.com/Notselwyn/CVE-2024-1086

1 „Gefällt mir“