Kernelrechte aufgrund Fehler im Kernelmodul für die Behandlung von IP Multicasts

[escimo]

Hallo zusammen,

aus gegebenen Anlass hier auch die Meldung:

• Heise: Bug in Solaris verleiht Kernelrechte
• Sunsolve ID 237965 zu diesem Problem
• Details von Tobias Klein, Berater bei der cirosec GmbH

Der Patch 137112-02 (x86) bzw. 137111-02 (SPARC) ist auch ohne Service-Vertrag zu haben. Voraussetzung ist allerdings ein SDN-Account.

Gruß
escimo

[dominik]

Nervig ist es, dass man gezwungen wird, einen kompletten Kernelpatch mit ellenlangen Abhängigkeiten zu installieren. Mit "nur mal eben rasch 137111-02 draufklatschen" ist es leider nicht getan. Realistischerweise endet es damit, sich den aktuellen Recommended and Security Cluster (485.3MB) herunterzuladen und zu installieren, was dann auch gleich eine mehrstündige Downtime nach sich zieht.

Traurig, dass Sun es nicht schafft, einen eigenen Patch für solch ein grosses Problem zu erzeugen und verpackt stattdessen den Bugfix in einen KJP

Gruss
Dominik

[Drusus]

Moin,

naja - da die Schwachstelle ja zumindest nicht remote ausnutzbar ist duerfte sich das Problem fuer uns Heimanwender ja noch in Grenzen halten... Trotzdem natuerlich aergerlich, wenn solche Fehler erst jetzt auffallen.

Bzgl. dem Patchen kann ich den zumindest dominiks Kommentar nicht nachvollziehen. Wenn man sich vor lokalen Angreifern schuetzen muss, dann wird man eh regelmaessig Patchen muessen (also hat man dann ja auch 13711[12]-01 schon drauf). Dann ist die Installation von -02 auch nicht mehr die Welt. Wer hingegen die anderen Patches auch nie nachzieht, der braucht auch jetzt nicht das meckern anfangen (dass er nun auf einmal einen Huegel Patches einspielen muss).

Tschau,
  Drusus.

[dominik]

Drusus:

Sorry, ich vergass dass ich hier in einem Heimanwenderforum bin.

Gruss
Dominik

[Hexxer]

Letztendlich bleibt doch in einem überschaubaren Intranet (was weiß ich, up to 200-300 server) auch die Frage ob ich diesen Patch und die damit verbundenen Downtime WIRKLICH brauche. Von 100% Mitarbeitern ziehe man die Tipsen, die Hausmeister, die Bürotanten, Markting und Co ab und es bleibt? Es bleiben zwei hand voll User die erstmal was mit "Solaris" anfangen können. Dann brauch ich noch Zonen usw usw usw..
Ich weiß nicht, unter Linux ist das so ein Trend auf "Update all" zu klicken und einfach mal alles hochzuziehen - ob das in produktiovumgebungen so ist weiß ich nicht, bei uns jedenfalls nicht .
Wenngleich der obere Patch und der Fehler ärgerlich sind, einspielem "müssen" muß den kaum einer. Einspielen "wollen" wollen natürlich viele weils ja erstmal wichtig klingt.

Ich seh das zumindest so.

MFG