De code van de exploit is vrijdag gepubliceerd door Brad Sprengler, een ontwikkelaar van Grsecurity. Dat bedrijf maakt open source-applicaties die de beveiliging van Linux moeten verbeteren. De kwetsbare code zit in de nieuwe kernels 2.6.30 en 2.6.30.1, die al worden gebruikt in Red Hat Enterprise Linux 5. Pikant detail is dat de code alleen kwetsbaar is als extra beveiliging middels SELinux is ingeschakeld of als PulsAudio is geïnstalleerd.

Blijft nog jaren

Op Millw0rm.com licht Sprengler toe waarom hij de code heeft gepubliceerd heeft, terwijl hij dat normaal gesproken niet zou doen. Linus Torvalds reageerde laconiek op het bericht van deze exploit. “Het lijkt mij helemaal geen kernelprobleem”, schrijft hij. “Hij draait een setuid programma dat gebruikers toestaat om eigen modules te specificeren. En dan is hij verbaasd dat hij local root krijgt?” De fout is dan ook niet remote te misbruiken.

Volgens The Register is de ceo van Errate Security Rob Graham het wat dit betreft met Torvalds eens. “Setuid staat bekend als een chronisch beveiligingsgat. Wat dit betreft heeft Torvalds gelijk. Het is geen kernelprobleem maar een ontwerpfout die inherent is aan Unix. Er is geen gemakkelijke oplossing, dus het zal de komende jaren bij ons blijven.”

'Doofpot'

Sprangler had echter het gevoel dat de kwetsbaarheid onder het tapijt werd geveegd. Volgens hem heeft niemand contact met hem gezocht om iets over deze exploit te vragen. Hij hekelt de betrokken open source-ontwikkelaars. Die zouden volgens hem geen contact opnemen omdat ze deze fout in de doofpot willen stoppen.

“Waarschijnlijk omdat ze ervoor kozen om in het geniep te opereren en omdat ze vertrouwden op de spionnen die ze hebben in de publieke kanalen waar ik kom”, schrijft hij. “Jullie krijgen lof als jullie dingen verbergen, terwijl Microsoft het bedrijf is met de slechte reputatie. Als jullie mijn aanbevelingen hierboven op zouden volgen, dan zou jullie beveiliging misschien niet het lachtertje van de industrie zijn.”

Een oplossing voor het probleem is hier te vinden

Bron: Techworld.nl.