Arrogant oder überfordert?

https://zolutal.github.io/aslrnt/

As it turns out, on recent Ubuntu, Arch, Fedora, and likely other distro’s releases, with kernel versions >=5.18, library ASLR is literally broken for 32-bit libraries of at least 2MB in size, on certain filesystems. Also, ASLR’s entropy on 64-bit libraries that are at least 2MB is significantly reduced, 28 bits -> 19 bits, on certain filesystems.

Seit 1½ Jahren ist ASLR (Address Space Layout Randomization, wichtige Technik um die Vorhersagbarkeit von Einsprungadressen zu erschweren) in so ziemlich jedem modernen Linux kaputt. Hier ist der Link zum Bug-Tracker. Ist es diese Einstellung „Linux greift eh niemand an, weil es so wenige benutzen“? Oder ist die Linux-Foundation mit der enormen Komplexität, die Linux mittlerweile erreicht hat, schlicht überfordert? Dass so etwas passieren kann, mag ja unvermeidlich sein, aber dass ein derart essentielles Sicherheitsproblem 1½ Jahre vor sich hinschnarcht, ist maximales Versagen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert