Die Bluetooth-Lücke und der Linux-Kernel

- 27. Juli 2018

“Versucht nicht an all die Bluetooth-Anwendungen zu denken, die sich nicht aktualisieren lassen”, schreibt Bruce Schneier mit Blick auf die neue Bluetooth-Schwachstelle mit dem CVE-2018-5383. Doch was bedeutet die Lücke für Linux-Nutzer?

Das Linux-Magazin hat bereits über die Schwachstelle berichtet. Sie trägt das CVE-2018-5383 (hier weitere Details [PDF]) und betrifft das Bluetooth Pairing. Beim Aushandeln der Schlüssel kommt dabei Elliptic-Curve-Kryptografie zum Einsatz, die aber laut den Forschern in den neuesten Bluetooth-Versionen den Public Key nicht ausreichend genau überprüft. Es gelang ihnen, einen Punkt mit speziellen Eigenschaften außerhalb der verwendeten Kurve einzusetzen, der es erlaubt, das Ergebnis der Berechnungen zu erfahren, ohne dass die Geräte dies beanstanden. Anschließend können sie den Datenverkehr abhören.

Während Smartphone- und Hardware-Hersteller wie Appel, Intel und Google bislang mehr oder weniger fleißig patchen, herrscht bei den Linux-Distributoren allerdings Funkstille in Bezug auf CVE-2018-5383. Laut Intel brauchen aber auch Nutzer von Linux ab Version 3.19 ein Update, die eigene Firmware in WLAN-Hardware hat das Unternehmen bereits gepatcht. Das Linux-Magazin hat daher den Bluetooth-Experten und Intel-Mitarbeiter Marcel Holtmann nach den Implikationen für den Linux-Kernel gefragt.

Ein Patch ist da…

Laut Holtmann gibt es bereits einen Patch für das Krypto-Subsystem des Kernel. Dieser führt einen Verifizierungstest der Public Keys für ECDH ein. Im Fall von Bluetooth fehlten dem Hashwert, der für das Pairing erzeugt wird, bislang die Daten der Y-Achse des Public Key. “Warum nur die X-Koordinate in den Hash kam, kann man nach über 11 Jahren nur noch schwer nachvollziehen.”, schreibt Holtmann. Das Patch für die Dateien “ecc.c” und “ecc_curve_defs.h” schließt diese Lücke, ergänzt einen Test und steckt inzwischen im Zweig des Kernel-Entwicklers Herbert Xu, der als ein Co-Maintainer für den Kryptozweig arbeitet.

…aber noch nicht im Kernel

Dass Xu den Patch akzeptiert, bedeutet nicht automatisch, dass er nun noch schnell in den Kernel 4.18 wandert, der aktuell in Arbeit ist. In der Regel behandeln die Kernel-Entwickler Sicherheits-Bugs nicht anders als reguläre Bugs. Vermutlich besteht eine Chance, dass die Maintainer des Krypto-Subsystems ihn im Merge-Window für Kernel 4.19 einreichen. Anschließend dürfte es auch noch etwas dauern, bis die Distributoren auch die Kernel ihrer Distributionen patchen. Bis es soweit ist, sollten Linux-Desktop-Nutzer beim Einsatz von Bluetooth Vorsicht walten lassen.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen