In Linux haben kürzliche Rechteausweitungslücken für Furore gesorgt, die insbesondere mit schönen Codenamen wie „CopyFail“, „DirtyFrag“ sogar mit eigenem Logo oder „Fragnesia“ Aufmerksamkeit erregten. IT-Sicherheitsforscher haben diese Schwachstellenklasse nun auch in FreeBSD entdeckt. Und mit einem Augenzwinkern den Codenamen „Bumsrakete[tm]“ dafür vergeben – laut Erklärung eine Rakete, die Bumm macht, Feuerwerk ist gemeint.

Auf einer eigens dafür eingerichteten Webseite mit der Domain bumsrake.de erklären sie Details der Schwachstelle. Dabei schießen sie satirisch ein wenig über das Ziel hinaus und haben den Text in Donald-Trump-Sprachstil verfasst. Im Kern geht es jedoch darum, dass auch in FreeBSD aufgrund der Sicherheitslücke der Page Cache von Dateien im Speicher manipuliert werden kann, wodurch Angreifer etwa eine root-Shell öffnen können. Der Kernel nutzt mehrere Prüfungen, die allerdings aufgrund einiger Einschränkungen schlicht nicht greifen. Ähnlich wie unter Linux ist auch in FreeBSD Kryptografiecode im Kernel Auslöser für die Schwachstelle, die Beschreibung weist auf die AES-GCM-Entschlüsselung im Rahmen von Kernel TLS (KTLS) hin (CVE-2026-45257).

Laut FreeBSD-Sicherheitsmitteilung können lokale Nutzer ohne weiterreichende Rechte im System, die Dateien lesen, deren Inhalt mit eigenem Content überschreiben, indem sie die Datei über eine Loopback-Verbindung mit aktiviertem KTLS schicken. Das verändert den Page Cache direkt, die Daten werden aufs Laufwerk geschrieben. Durch das Überschreiben von setuid-Binärdateien oder anderen vertrauenswürdigen Dateien gelingt dann die Rechteausweitung. Die komplette Übernahme des Systems ist möglich. Die IT-Forscher stellen auch einen Demo-Exploit bereit – IT-Verantwortliche sollten daher zügig ihre FreeBSD-Systeme absichern.

Aktualisierte Software verfügbar

Durch das Upgrade der FreeBSD-base lässt sich die Lücke im aktuellen Zweig FreeBSD 15.0-RELEASE schließen. Der Aufruf

# pkg upgrade -r FreeBSD-base
# shutdown -r +10min "Rebooting for a security update"

erledigt das. Auf Systemen, die nicht mit den base-Systempaketen aufgesetzt wurden, soll

# freebsd-update fetch
# freebsd-update install
# shutdown -r +10min "Rebooting for a security update"

Abhilfe schaffen. Es stehen zudem Quellcode-Patches bereit, die Admins anwenden können. Die Entdecker der Schwachstelle nennen als temporäre Gegenmaßnahme, bis ein neuer Kernel gebaut werden kann, das Setzen der Einstellung kern.ipc.mb_use_ext_pgs=0 in der Datei „/etc/sysctl.conf“. Das FreeBSD-Team wiederholt diesen Tipp jedoch nicht.

Betroffen sind FreeBSD 15.0, 14.x und 13.x. Die Versionen 12.x enthalten den verwundbaren Code noch nicht. Die Sicherheitsupdates stehen derzeit für FreeBSD 14.3, 14.4, und 15.0 sowie dem Release-Kandidaten von 15.1 zur Verfügung. IT-Verantwortliche sollen gegebenenfalls auf die unterstützten FreeBSD-Versionen migrieren.

Seitenhieb auf Aufmerksamkeitsökonomie

Die Aufbereitung der Lücke als „Bumsrakete“ ist ein bissiger Seitenhieb auf die überhand nehmende Aufmerksamkeitsökonomie, wodurch Entdecker von Schwachstellen regelrechten Marketing-Aufwand treiben und den aufgedeckten Schwachstellen prägnante Namen geben oder schöne Logos dazu bauen. Die Vermischung des Ganzen mit Trump-Stil oder der Nutzung der Schriftart Comic Sans untermauert das. Die CVSS-Score-Berechnung zur Einschätzung des Risikos nutzen die Hinterleute auch gleich, um sich darüber lustig zu machen: Auf die mehrfache satte Höchstwertung 10 kommt noch ein Wert +3 hinzu: CVSS 13 von 10! Der auf „bumsrake.de“ angenommene Angriffsvektor ergibt hingegen einen realen CVSS-Wert von 9.3, was dem Risiko „kritisch“ entspricht.

(dmk)

China plant ein umfangreiches Investitionsprogramm für seine KI-Infrastruktur. Innerhalb der nächsten fünf Jahre will Peking rund 2 Billionen Yuan – umgerechnet etwa 295 Milliarden US-Dollar – in neue Rechenzentren stecken. Die Anlagen sollen bis 2028 zu einem landesweiten „National Computing Network“ zusammengeschaltet werden, das fragmentierte Rechenressourcen bündelt und wie ein öffentliches Versorgungsnetz funktioniert.

Wie Bloomberg berichtet, befinden sich die Planungen noch in einem frühen Stadium. Verantwortlich für die Ausarbeitung sind unter anderem die Nationale Entwicklungs- und Reformkommission (NDRC) sowie das Finanzministerium. Finanziert werden soll der Ausbau hauptsächlich über langfristige Staatsanleihen mit Laufzeiten von mehr als zehn Jahren. Hinzu kommen staatliche Fonds für strategische Industrien, ergänzt durch Bankkredite und privates Kapital.

Heimische Chips statt Nvidia

Die neuen Rechenzentren sollen vorrangig von staatlichen Telekommunikationskonzernen wie China Mobile und China Telecom betrieben werden. Politisches Ziel ist es, mindestens 80 Prozent der eingesetzten Kerntechnologien – darunter KI-Chips, Beschleuniger und Netzwerktechnik – von heimischen Anbietern zu beziehen. Huawei gilt als wichtigster Hardwarelieferant.

Das Investitionsvolumen von 2 Billionen Yuan ist im Vergleich zu den Summen, die amerikanische Unternehmen gerade in den Ausbau von KI-Infrastruktur stecken, eher gering. Allerdings ist der Bau von Rechenzentren in China wegen niedrigerer Lohnkosten günstiger und die Summe beinhaltet lediglich die staatlichen Ausgaben. Zusätzliche Investitionen privater Tech-Konzerne wie Alibaba und Tencent sind darin nicht enthalten. Die Offensive ist Teil des „Six Networks“-Programms, in dessen Rahmen China insgesamt Billionen in Stromnetze, Kommunikations- und Dateninfrastruktur steckt – das Gesamtvolumen hier könnte bei über 5 Billionen Yuan liegen.

Digitale Souveränität

Das Programm ist eng mit Pekings Strategie technologischer Souveränität verknüpft. Neben Huawei steht mit Alibaba mittlerweile ein zweiter großer lokaler Anbieter bereit: Der Konzern hatte jüngst den KI-Beschleuniger Zhenwu M890 vorgestellt, der die dreifache Leistung des Vorgängers bieten soll und sowohl für Training als auch Inferenz ausgelegt ist. Der Chip verfügt über 144 GByte On-Chip-Speicher und eine Interchip-Bandbreite von 800 GByte/s. Telepolis hat diese Entwicklung ausführlich analysiert.

An den Aktienmärkten sorgten die ersten Berichte bereits für Bewegung: Chinesische Rechenzentrumsbetreiber wie GDS Holdings Ltd. und VNET Group Inc. verzeichneten im US-Vorhandel zweistellige Kurszuwächse.

(rie)

Arista hat eine neue Switchserie namens 7060XE7 mit bis zu 64 Ports mit je 1,6 Tbit/s auf vier Höheneinheiten angekündigt. Die Serie basiert auf dem aktuellen Broadcom Tomahawk 6 Chip und soll Latenzen von nur 840 Nanosekunden unter optimalen Bedingungen für die Weiterleitung von Paketen benötigen. Der Hersteller bietet das Modell sowohl mit klassischer Luftkühlung als auch mit Flüssigkeitskühlung an. Als Referenzkunden sind Meta, Microsoft, Oracle benannt, wobei die Kundenstatements-Videos auch OpenAI, Anthropic und Google zeigen.

Die Gesamtswitching-Kapazität der Switche beträgt jeweils bis zu 102,4 Tbit/s. Diese verteilen sich bei dem luftgekühlten 7060XE7-64PS/PRS und dem flüssigkeitsgekühlten 7060XE7-64PRS-RV3-L auf 64 Slots für OSFP-Transceiver mit 1,6 Tbit/s und beim 7060XE7-128PE auf 128 Slots für OSFP-Transceiver mit 800 Gbit/s. Die Ports können je nach Bedarf aber auch auf 800G, 400G und 200G heruntergebrochen werden und unterstützen zudem Linear Pluggable Optics (LPO)-Transceiver, die keinen DSP mehr, sondern nur einen Transimpedanzverstärker (TIA) und einen Treiber-Chip besitzen.

Die Ports haben geringere Latenz sowie einen geringeren Stromverbrauch, was weniger Abwärme bedeutet. Arista gibt 60 Prozent geringeren Stromverbrauch an, wohingegen andere Hersteller konservativer bis zu 50 Prozent angeben. Jedoch muss der ASIC diese Transceiver unterstützen, was bei den 7060XE7 der Fall ist. Die 1,6T-Ports teilen sich auf 8 × 200G-Lanes gemäß 224G-SerDes auf. Bei der 800G-Variante kommt entsprechend 100G-SerDes zum Einsatz. Beide Varianten nutzen PAM4-Modulation.

Die luftgekühlten Chassis kommen auf vier 19-Zoll-Höheneinheiten daher, wohingegen der flüssigkeitsgekühlte 7060XE7-64PRS-RV3-L nur zwei Open Rack Units gemäß Open Rack v3 Spezifikation benötigt, was nur 9,6 cm in der Höhe entspricht. Er kann entweder als reiner Switch oder im vorbereiteten Behältnis für die Kühlung in integrierten Racks geliefert werden.

Die Netzteile und Lüfter der luftgekühlten 64-Port-Chassis sind redundant und wie auch die Supervisor Engine im Betrieb austauschbar. Dabei stehen sowohl Wechselstrom- als auch Gleichstromvarianten zur Verfügung. Die flüssigkeitsgekühlte Variante hat Gleichstromnetzteile. Als Paketpuffer stehen 267 MB bereit.

Funktionen für KI-Backend-Netzwerke

Besonders relevant für die Zielgruppe des Switches sind jedoch die speziellen Funktionalitäten für KI-Backend-Netzwerke. Für die Lastverteilung beherrschen sie Dynamic Load Balancing (DLB) und Cluster Load Balancing (CLB). Diese werden eingesetzt, um die Bearbeitungszeiten von Aufträgen zu steuern und die Lastverteilung über das gesamte Netzwerk zu optimieren.

Zudem bringen sie auch ein erweitertes Überlastmanagement auf Basis Priority Flow Control (PFC) fähiger Lastverteilung und PFC-fähigen Überlastbenachrichtigungen (ECN), Fast CNP (Congestion Notification Packet), CSIG (Congestion Signaling) und auch ein Kürzen der Nutzdaten statt des Verwerfens des gesamten Pakets (Packet Trimming) für KI-Workloads mit. Zudem unterstützen die Switche auch Packet Spraying.

Verbindungsoptimierung mit MRC

Als ein besonders relevantes Merkmal benannte Arista auf Anfrage die Unterstützung von MRC (Multipath Reliable Connection). Durch die vollständige Unterstützung des offenen Protokolls MRC wird erreicht, dass ein einzelner Verbindungsausfall einen umfangreichen KI-Trainingsvorgang nicht zum Stillstand bringt. Dabei werden Daten schon in der Netzwerkkarte (NIC) an der XPU auf unterschiedliche Links/Pfade aufgeteilt und Out-of-Order-Pakete automatisch gehandhabt.

MRC reagiert auf Signale zur Netzwerküberlastung (ECN und Packet Trimming), verlagert die Last auf die leistungsstärksten Pfade und meidet Verbindungen und Pfade, die das Ziel gar nicht erreichen können. Eine weitere optimierte Verteilung soll über die Kombination von MRC mit Segment Routing v6 (SRv6) erreicht werden, um den Datenverkehr der XPU bereits an der Quelle besser zu steuern. Ansonsten verfügen sie über die klassischen Features im Arista EOS-Netzwerkbetriebssystem.

Ethernet statt InfiniBand

Arista positioniert die Switche für Scale-up und Scale-out-Szenarien, also eine Verbindung von XPUs innerhalb (Scale-up) oder zwischen Racks in einem Rechenzentrum (Scale-out). Die beiden luftgekühlten 7060XE7-64PS/PRS sollen im vierten Quartal 2026 verfügbar sein, wohingegen der 7060XE7-128PE und der flüssigkeitsgekühlte 7060XE7-64PRS-RV3-L erst im ersten Quartal 2027 bereitstehen sollen. Zu Preisen machte der Hersteller, wie gewohnt, keine Angaben.

Mit den vielfältigen Optimierungen für die Steuerung von latenz- und verlustkritischen Applikationen, wie KI-Trainings, den hohen Bandbreiten bringt Arista Ethernet zunehmend als Alternative zu InfiniBand ins Spiel. Die genannten Hyperscaler und KI-Pioniere sprechen dabei eine deutliche Sprache. Für die meisten Unternehmenskunden dürften die Switche jedoch mindestens eine Nummer zu groß sein.

(axk)