Σημαντικό πρόβλημα ασφαλείας στο Linux θέτει τους χρήστες σε κίνδυνο ακόμη και μετά τη διόρθωσή του

[trd64]

Θέλει και καναπέ και 3d γυαλί .

Μαααα,στο linux δεν μπορεί μια τρύπα να υπάρχει τόσο καιρό γιατί τον κώδικα τον βλέπουν 20.000 μάτια .....
Και φυσικά τα windows δεν υπερηφανεύονται την ασφάλεια ....

Ακριβώς και δεδομένου ότι 20.000 μάτια δεν είδαν την "τρύπα" σημαίνει ότι δεν φαινόταν και άρα ενδεχομένους δεν μπορούσε να αξιοποιηθεί.

Υπάρχουν τόσες εταιρείες ασφάλειας που αν μπορούσαν θα τους είχαν κάνει βούκινο καιρό τώρα.

Ενδεχομένως ούτε στο linux να μην είχαν καταλάβει το κενό.

Σε κάθε περίπτωση συμφωνώ απόλυτα με την πολιτική του linux για ανακοίνωση του προβλήματος μετά την διόρθωσή του, διαφορετικά θα ήταν σαν να έλεγε ελάτε να τα κάνετε όλα μπάχαλο.

Τελειώνοντας, κενά πάντα θα δημιουργούνται. Το θέμα είναι πόσο γρήγορα κλείνουν και τι δυνατότητες υπάρχουν να δημιουργηθεί πρόβλημα για όσο καιρό είναι ανοιχτά.

Off Topic

Μπορείτε να μείνετε με το popcorn σας.... προσωπικά πάω για ένα 2πλό πιτόγυρο και μπύρα

EDIT
και για να τελειώνει το θέμα αντίστοιχο πρόβλημα είχε ανακοινωθεί στις 25/2/2013 http://www.phoronix.com/scan.php?pag...tem&px=MTMxMTg
χωρίς τόσο θόρυβο σχετικά με το πόσο τραγικά λειτουργούν στο linux kernel.

και

The Linux kernel developer's rationale is that any bug could potentially be security issue, so singling out some as 'security issues' will cause distros/users to be selective with their fixes...

και από το αρχικό κείμενο

that have been compiled with the CONFIG_PERF_EVENTS kernel configuration option.

Δηλαδή η περίπτωση της περίπτωσης

Επίσης πολύ πιο πριν από το link της είδησης

Feb 28, 2012 [PATCH] trace: Fix build breakage without CONFIG_PERF_EVENTS
https://lkml.org/lkml/2012/2/28/156

Feb. 15, 2013, 5:32 p.m.
https://patchwork.kernel.org/patch/2149161/

[Helix]

Έχω περασμένο πυρήνα 3.9.2 οπότε δεν μ' αγγίζει το θέμα

[ttsesm]

Έχω περασμένο πυρήνα 3.9.2 οπότε δεν μ' αγγίζει το θέμα

εδώ πάντως με 3.9.2-1 (Arch linux)

αν τρέξω την εντολή που παράθεσε πριν ο @patch δίχνει να υπάρχει το πρόβλημα:

zgrep CONFIG_PERF_EVENTS /proc/config.gz
CONFIG_PERF_EVENTS=y

[mrsaccess]

Το έχω δοκιμάσει εδώ και αρκετές μέρες, σε κανένα από τα συστήματά μου που σύμφωνα με την περιγραφή θεωρούνται ευπαθή δεν κατάφερε να τρέξει.
Βέβαια οι server εφόσον έχουν στηθεί από άτομο με καλές γνώσεις, δεν ήταν ποτέ ευπαθείς. Μην μπερδεύεστε από τους windows admins που νομίζουν πως admin γίνεσαι πατώντας next.

Πάντως κανείς δεν λέει πως το Linux είναι απόρθητο. Έχω δει (και ποστάρει στο σχετικό subforum) exploits που πράγματι δούλευαν σε Linux συστήματα με χαλαρή ασφάλεια (aka desktop).
Ωστόσο δεν γίνεται το πάρτι που γίνεται σε άλλα λειτουργικά και υπάρχει η δυνατότητα, για επαγγελματική χρήση, να προστατευθείς με επιπλέον μεθόδους.

- - - Updated - - -

εδώ πάντως με 3.9.2-1 (Arch linux)

αν τρέξω την εντολή που παράθεσε πριν ο @patch δίχνει να υπάρχει το πρόβλημα:

zgrep CONFIG_PERF_EVENTS /proc/config.gz
CONFIG_PERF_EVENTS=y

Δεν είναι αυτό το πρόβλημα, αυτό είναι μια από τις προϋποθέσεις για να τρέξει το exploit. Είναι ρύθμιση του Linux kernel η οποία μάλιστα είναι ενεργοποιημένη στο default configuration.

[mrsaccess]

Ποια είναι αυτή η ρύθμιση;

Αφού το λέει: CONFIG_PERF_EVENTS

Αν κάνεις menuconfig είναι στο General setup ---> Kernel Performance Events And Counters.
Συχνά δεν μπορείς να την απενεργοποιήσεις γιατί απαιτείται από άλλα υποσυστήματα που έχεις ενεργοποιήσει.

[Avax_7]

Συνημμένο Αρχείο 123928Για περισσότερο από δύο χρόνια, στο λειτουργικό σύστημα Linux υπήρχε μια ευπάθεια υψηλής σοβαρότητας και κινδύνου που έδινε σε χρήστες με περιορισμένα δικαιώματα σχεδόν απεριόριστη root πρόσβαση στους υπολογιστές, όπως servers που λειτουργούν σε κοινόχρηστες εγκαταστάσεις Web hosting και άλλα ευαίσθητα περιβάλλοντα. Παραδόξως, οι περισσότεροι χρήστες είναι ακόμα εκτεθειμένοι ακόμα και τώρα, παραπάνω από ένα μήνα που οι developers του open source λειτουργικού συστήματος "κυκλοφόρησαν" με αρκετή μυστικοπάθεια μια ενημέρωση που έκλεινε αυτήν την "τρύπα".

Η σοβαρότητα του bug αυτού, το οποίο εντοπίζεται στα perf του kernel του Linux (υποσύστημα μετρητών απόδοσης), δεν ήταν ξεκάθαρη μέχρι την περασμένη Τρίτη, όταν κώδικας για επιθέσεις που εκμεταλλεύονται αυτήν την ευπάθεια έγινε διαθέσιμος στο κοινό. Το νέο αυτό script μπορεί να χρησιμοποιηθεί για ανάληψη ελέγχου servers που λειτουργούν υπό αρκετούς κοινόχρηστους παροχείς Web hosting, όπου δεκάδες ή εκατοντάδες άτομα έχουν λογαριασμούς με περιορισμένα δικαιώματα στον ίδιο υπολογιστή. Hackers που έχουν ήδη περιορισμένη πρόσβαση σε κάποιον υπολογιστή με Linux, "αξιοποιώντας" ένα κενό ασφαλείας του browser ή κάποιας εφαρμογής web, μπορούν να αναβαθμίσουν τα δικαιώματα τους σε root. To σφάλμα αυτό επηρεάζει τους kernels των εκδόσεων 2.6.37 μέχρι 3.8.8 που έχουν γίνει compile με την επιλογή CONFIG_PERF_EVENTS.

Λύση για το πρόβλημα αυτό στον πυρήνα του Linux, κυκλοφόρησε τον περασμένο μήνα. Στην τεκμηρίωση της δεν αναφέρει ότι ο κώδικας διορθώνει ένα σημαντικό πρόβλημα ασφαλείας που θα μπορούσε να θέσει σε κίνδυνο την ασφάλεια οργανισμών με λειτουργικό σύστημα Linux στους υπολογιστές τους σε εξαιρετικά ευαίσθητα περιβάλλοντα. Αυτή η απουσία προειδοποιήσεων σχετικά με την ασφάλεια είναι συνήθης τακτική εδώ και χρόνια μεταξύ του Linus Torvalds και άλλων προγραμματιστών του Linux kernel και έχει κατά καιρούς αποτελέσει αντικείμενο έντονης κριτικής από ορισμένα άτομα που ασχολούνται με την ασφάλεια των υπολογιστικών συστημάτων. Τώρα που η ενημέρωση του κώδικα είναι διαθέσιμη στον kernel, θα αρχίσει να ενσωματώνεται σε όλες τις προβληματικές εκδόσεις "σταθερών" kernels που υπάρχουν στο kernel.org, όπου διατηρεί τον κώδικα της καρδιάς του Linux. Οι μεμονωμένες διανομές αναμένεται να εφαρμόσουν την ενημέρωση στους kernels και να κυκλοφορήσουν ενημερώσεις ασφαλείας μέσα στις επόμενες ημέρες.



Πηγή: ArsTechnica

Χμ...

[FuS]

[patch]

Ποια είναι αυτή η ρύθμιση;

θελει το patch (το εβαλε ο trd) για να γινει compile

Spoiler:

[kami84gr]

για να σοβαρευτουμε κυριοι......WINDOWS και μαλιστα 8αρια...
ναι ρε χωρις START BUTTON ... γιατι μπορουμε!!!!!!!!!
χωρις καμμια ασφαλεια γιατι μας αρεσει να ζουμε επικινδυνα...
αν θελαμε ασφαλεια θα βαζαμε Linux....mpoy xa xax axa x a xa x a xa (σορρυ μου ξεφυγε)

Φίλε πες μας τι παίρνεις να πάρουμε και εμείς γιατί μας χρειάζονται λίγες παραισθήσεις

[blade_]

Αναμενόμενο.. Τουλάχιστον θα κοπούν οι ψευδαισθησεις μερικών..

[LiKbeAsT]

Ρε παιδιά τι λέμε..;

Προφανώς και υπάρχουν bugs, προβλήματα, τρύπες etc. Και στα linux και στα windows και σε όλα μάλλον.

Κάποιοι βάζουν linux γιατί τα θεωρούν πιο safe και γιατί υποτίθεται τουλάχιστον ότι "ξέρουν" τι έχει μέσα το λειτουργικό, σε αντίθεση με κάποιο κλειστού κώδικα που ποτέ δεν μπορείς να είσαι σίγουρος.

Αν κάποιος νόμιζε ότι είναι 100% ασφαλής επειδή είχε linux έχει άγνοια στα περί ασφάλειας (δεν το λέω με κακία)

Προσωπικά ούτε μειώθηκαν ούτε τίποτα επειδή βρέθηκε ένα σφάλμα. Δηλαδή νομίζατε ότι όλα τα bugs κλπ που διορθώνονται με κάθε έκδοση είναι πάντα φρέσκα? :P

[aiolos.01]

Ε ρε γλέντια, χοντρό bug και ελεύθερο για 2 χρόνια. Και τώρα κυκλοφορεί και exploit... Οχι για να μη λένε για την εκπληκτική ασφάλεια του linux. Οχι οτι δεν είναι ασφαλές, αλλά οχι στο θεικό επίπεδο που πιστεύουν οι οπαδοί του.

[neon2k8]

Θα πεταχτώ πάντως για να μην σκάσω κι εγώ όχι τίποτ' άλλο. 1 κενό... Ολογράφως "ένα"... κενό που υπήρχε 2 χρόνια που όμως επειδή έχω λίνουξ όλο αυτό το καιρό δεν προκάλεσε ποτέ κανένα απολύτως πρόβλημα. Ούτε σε φίλους και γνωστούς. Πώς είπατε? Ακόμα η Microsoft κλείνει "τρύπες" στα Vista ακόμα και μετά απο το SP2? Μετά απο πόσα χρόνια, για να ακούσω; Και στα ΧΡ ε; Μετά απο 12 χρόνια αν δεν κάνω λάθος ακόμα; Στα 7άρια; Μετά απο 4 χρόνια ακόμα ε; Ναι το Λίνουξ υπερηφανευόταν για την ασφάλεια. Και όπως αποδεικνύεται αυτό το 1 κενό δεν προκάλεσε ουδέποτε πρόβλημα σε κανένα σύστημα. Λοιπόν, πάρτε και ποπ κόρν και σουβλάκια και κοντοσούβλια και ότι θέλετε πάντως πρόβλημα δεν έχει δημιουργηθεί όλο αυτό το διάστημα! Ενω τα "παράθυρα" ε; 4 χρόνια το ένα, 12 το άλλο, 8 το άλλο.... Κι άμα λείπει και το antivirus εκεί να δείς ποπ κόρν και πιτόγυρα!!!! Άντεεεεε γειάαααα λοιπόν! Και κράχτε, τρολάρετε όσο θέλετε, θα βάλω την γάτα μου να κλαίει και θα την βάψω μαύρη....

[biggeo65]

Θα το γράψω "επιστημονικά" μπας και το καταλάβουν μερικοί.
Ένα κενό ασφαλείας, ε και; "Αφόδευσε η φοράδα στο αλώνι."

Ούτε κάποια σοβαρή παραβίαση ακούστηκε, ούτε κάτι άλλο. Βγήκε patch και τέλος.
Τι να πουν και τα Windows που βουλώνουν τρ΄υπες μια φορά τον μήνα.
Και ι ο κώδικάς τους είναι κλειστός, και υποτίθεται θα τον πρόσεχαν παραπάνω.

Fun των Windows είμαι, σπάνια χρησημοποιώ Linux, αλλά όχι κι ένα κενό να γίνει θέμα.
Λογικό είναι όταν ο κώδικας είναι ανοιχτός και ασχολούνται πολλοί με την εξέλιξη του.

[Helix]

Και... μισό κενό ασφαλείας να ήταν, οι haters πάλι θα βρίσκαν αφορμή για πανηγυρισμους.